an?isis de Riesgo
El an?isis de riesgo es un proceso sistem?ico
para estimar la magnitud de los riesgos a que
est?expuesta una organizaci? o
empresa.
Es la identificaci? de las amenazas que acechan
a los distintos componentes pertenecientes o
relacionados con un sistema de informaci?
(activos) para determinar la
vulnerabilidad del
sistema ante esas amenazas y para estimar el
impacto o grado de perjuicio que una seguridad
insuficiente puede afectar a la organizaci?.
acorde al punto 5.4 de Magerit (Espa?) es
importante crear escenarios de ataque, imaginar
amenazas a los activos, pensar c?o un atacante
se enfrentar? a nuestros sistemas o activos.
Hay que ponerse en la piel del atacante e
imaginar qu?har? con sus conocimientos y
recursos. Es importante plantear diferentes
situaciones dependiendo del perfil t?nico del
atacante o de sus recursos t?nicos y humanos.
Estos escenarios de ataque o dramatizaciones son
importantes para evaluar impactos y riesgos.
Consideraciones
Jam? olvide que en las empresas la seguridad
comienza por dentro. capacitando al
personal,creando normas basadas en standards,
analizando brechas y puntos ciegos en la
seguridad l?ica y en la
seguridad de sistemas
de informaci?.
Es fundamental la creaci? de escenarios de
conflicto en forma continua participando la
gerencia de la empresa junto con un auditor en
seguridad, a partir de estos escenarios pueden
lograrse medidas para evitar eventos de
seguridad.
anticiparse a los hechos
Imag?ese el peor escenario posible. Piense c?o
evitarlo. Existen normas,
procedimientos,protocolos de seguridad
existentes que pueden ayudar a crear y basar
(valga la redundancia) sus procedimientos
internos para alejar la posibilidad de riesgo.
Si su empresa opera a trav? de
internet o
telecomunicaciones no olvide que es m? probable
tener una fuga de informaci? o problema interno
de seguridad con su personal a que un
hacker
intente vulnerar sus sistemas, el fraude interno
est?a la orden del d?.
Realice peri?icamente perfiles socioecon?icos
de su personal, tenga entrevistas con cada uno
de sus empleados con una frecuencia trimestral
contando con apoyo de un profesional en
psicolog? laboral con experiencia previa y
capacitado en PNL (nunca est?de m? que en
estas entrevistas participe un
auditor en
seguridad, el auditor debe ser capaz de percibir
a un ?insider?.)
El siguiente glosario es un compendio de
t?minos t?nicos de auditoria en seguridad que
le permitir?comprender diversos informes y
graficar situaciones eventuales en que su
empresa podr? verse comprometida.
GLOSaRIO
ataque :
Cualquier acci? deliberada con el objetivo de
violar los mecanismos de seguridad de un sistema
de informaci?.
auditoria de Seguridad:
Estudio y examen independiente de registros
hist?icos y actividades de un sistema de
informaci? con el objetivo de comprobar la
solidez de los controles del sistema, alinear
los controles con la estructura de seguridad y
procedimientos operativos establecidos a fin de
detectar brechas en la seguridad y recomendar
modificaciones en los procedimientos, controles
y estructuras de seguridad.
autenticidad:
aseguramiento de la identidad u origen.
Certificaci?:
Confirmaci? del resultado de una evaluaci? y
de que los criterios de la evaluaci? utilizados
fueron correctamente aplicados.
Confidencialidad:
aseguramiento de que la informaci? es accesible
s?o por aquellos autorizados a tener acceso.
Degradaci?:
P?dida de valor de un activo como consecuencia
de la materializaci? de una amenaza .
Disponibilidad:
aseguramiento de que los usuarios autorizados
tienen acceso cuando lo requieran a la
informaci? y a sus activos asociados.
Estado de riesgo:
caracterizaci? de activos por riesgo residual.
?Lo que puede pasar tomando en consideraci? que
las salvaguardas han sido desplegadas?.
Evento de seguridad:
Momento en que la amenaza existe y pone en
riesgo activos, procedimientos o informaci?.
Evaluaci? de Medidas de Seguridad:
Evaluaci? de las medidas de seguridad
existentes con relaci? al riesgo que enfrentan.
Frecuencia:
Tasa de ocurrencia de una amenaza
Gesti? de riesgos:
Selecci? de implementaci? de medidas de
seguridad para conocer, prevenir, impedir,
reducir o controlar los riesgos identificados.
La gesti? de riesgos se basa en resultados
obtenidos en el an?isis de riesgos.
Impacto:
Consecuencia que sobre un activo tiene la
materializaci? de una amenaza.
Impacto residual:
Impacto remanente en el sistema tras la
implantaci? de las medidas de seguridad
determinadas en el plan de seguridad de la
informaci?.
Insider:
Empleado desleal quien por motivos de
desinter?, falta de capacidad intelectual y/o
anal?ica,problemas psicol?icos o
psiqui?ricos, corrupci?, colusi? u otros
provoca da?s en forma deliberada en la empresa
en que trabaja, incumpliendo concientemente con
normas y procedimientos establecidos, robando o
hurtando activos (f?icos o informaci?) con
objetivos econ?icos o simplemente de da?
deliberado.
Integridad:
Garant? de la exactitud y completitud de la
informaci? y los m?odos de su procesamiento.
Mapa de riesgos:
Relaci? de las amenazas a que est? expuestos
los activos.
Plan de seguridad:
Conjunto de programas de seguridad que permiten
materializar las decisiones de gesti? de
riesgos.
Programa de seguridad:
Conjunto de tareas orientadas a afrontar el
riesgo del sistema. Esta agrupaci? se debe a
que en singular las tareas carecer?n de
eficacia ya que todas tienen un objetivo com? y
porque competen a una ?ica unidad de acci?.
Proyecto de seguridad Programa de seguridad cuya
envergadura es tal que requiere una
planificaci? espec?ica.
Riesgo:
Estimaci? del grado de exposici? a que una
amenaza se materialice sobre uno o m? activos
causando da?s y / o perjuicios a la
Organizaci?.
Riesgo acumulado:
Toma en consideraci? el valor propio de un
activo y el valor de los activos que dependen de
?. Este valor se combina con la degradaci?
causada por una amenaza y la frecuencia estimada
de la misma.
Riesgo repercutido:
Se calcula tomando el valor propio de un activo
y combin?dolo con la degradaci? causa por una
amenaza y la frecuencia estimada de la misma.
Medida de seguridad:
Procedimiento o mecanismo tecnol?ico que reduce
el riesgo.
Seguridad:
capacidad de las redes o de los sistemas de
informaci? de resistir, con un determinado
nivel de confianza, los accidentes o acciones
il?itas o malintencionadas que comprometan la
disponibilidad, autenticidad, integridad y
confidencialidad de los datos almacenados o
transmitidos y de los servicios que dichas redes
y sistemas ofrecen o hacen accesibles.
Sistema de informaci?:
Computadoras y redes de comunicaciones
electr?icas, datos electr?icos
almacenados,procesados, recuperados o
transmitidos por los mismos para su operaci?,
uso, protecci? y mantenimiento.
Conjunto de elementos f?icos, l?icos,
elementos de comunicaci?, datos y personal que
permiten el almacenamiento, transmisi? y
proceso de la informaci?.
Trazabilidad:
aseguramiento de que en todo momento se podr?
determinar quien hizo qu?y en qu?momento.
Valor:
De un activo: Es una estimaci? del costo
inducido por la materializaci? de una amenaza.
acumulado: Considera tanto el valor propio de un
activo como el valor de los activos que dependen
de ?.
Vulnerabilidad:
C?culo o estimaci? de la exposici? efectiva
de un activo a una amenaza. Se determina por dos
medidas: frecuencia de ocurrencia y degradaci?
causada.
Un agradecimiento especial al
Se?r:LUCIaNO SaLELLaS
aUDITOR EN SEGURIDaD INFORMaTIca
SR HaDDEN SECURITY CONSULTING
Tel: (0054-0343) 155-121-554
E mail: [email protected]
www.sr-hadden.com.ar
Por su excelente ?ticulo y colaboraci? con
este portal.
|