- Seguridad Informática - Análisis de riesgos -

La existencia de amenazas que afectan la disponibilidad, integridad y confidencialidad de los datos es real. Es crítico para las organizaciones poder identificar esas amenazas y adoptar recomendaciones que permitan prevenir, detectar y protegerse de ellas. La diversidad y la heterogeneidad de los sistemas de información que requieren las organizaciones actuales, sumado a la globalización a la que se enfrentan al conectar esos sistemas al mundo de Internet, genera un sinfín de incertidumbres en lo referente a la Seguridad de la Información.

El punto de partida para un sistema de seguridad informática es la realización del diagnóstico de la situación actual, para luego poder proyectar las soluciones necesarias a cada caso.

Cuando se crea una política de seguridad de red, es importante tener en cuenta la razón, su objetivo, en primer lugar, asegurar que los esfuerzos dedicados a la seguridad impliquen un costo razonable.
Esto significa que debe conocerse cuales recursos vale la pena proteger y cuales son más importantes que otros.
También debe identificarse la fuente de amenazas a los recursos que pretende proteger.

A pesar de toda la publicidad acerca de intrusos que irrumpen en una red, en el caso de la mayoría de las organizaciones, las verdaderas perdidas causadas por los usuarios internos son mucho mayores.
El análisis de riesgo implica determinar lo siguiente:
- ¿Que necesita proteger?
- ¿De que necesita protegerlo?
- ¿Cómo protegerlo?

Los riesgos deben clasificarse por niveles de importancia y gravedad.
Las medidas de seguridad no debe terminar en una situación en la que el costo de estas medidas sea mayor que el valor de los recursos que se pretenda proteger.

En un Análisis de Riesgos debe confrontarse los siguientes aspectos:
- Riesgo: es el potencial que tiene una amenaza de explotar las vulnerabilidades asociadas con un activo, comprometiendo la seguridad de éste.
- Activo: es un componente relacionado con la información, el cual tiene un valor asignado por la entidad directamente relacionada con éste. Dicho valor representa el nivel de importancia que tiene el activo en el "proceso del negocio".
- Vulnerabilidad: es una debilidad en las Tecnologías de Información que hace susceptible un activo a una amenaza.
- Amenaza: es un evento, acción o agente que puede comprometer a un activo.
- Impacto: es la magnitud en que afecta la materialización de un riesgo.

previo
Imprimir..
Ultima actualisación: Tue, 24 ▪ May ▪ 2011
próximo