martes, 29 de noviembre de 2011

Riesgos TECNOLOGICOS


Actualmente se está tendiendo por los responsables de la seguridad de las empresas con grandes sistemas de información a una normalización de la terminología. Basándose en el trabajo de la Comisión de Seguridad de SEDISI, y completando algunos conceptos, se distinguen los siguientes componentes en un Análisis de riesgos de un Sistema Informático:

• Sistema de información. Son los Recursos Informáticos (Físicos y Lógicos) y Activos de Información de que dispone la empresa u organización para su correcto funcionamiento y la consecución de los objetivos propuestos por su Dirección.

• Amenaza. Cualquier evento que pueda provocar daño en los Sistemas de información, produciendo a la empresa pérdidas materiales, financieras o de otro tipo. Las amenazas son múltiples desde una inundación, un fallo eléctrico o una organización criminal o terrorista.

• Vulnerabilidad. Cualquier debilidad en los Sistemas de Información que pueda permitir a las amenazas causarles daños y producir pérdidas. Generalmente se producen por fallos en los sistemas lógicos, aunque también corresponden a defectos de ubicación e instalación.

• Riesgo. Es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del Sistema Informático, causando un impacto en la empresa. Evidentemente el riesgo es característico para cada amenaza y cada sistema, pudiéndose disminuir tomando las medidas adecuadas.

• Incidente de seguridad. Cualquier evento que tenga, o pueda tener, como resultado la interrupción de los servicios suministrados por un Sistema de Información y/o pérdidas físicas, de activos o financieras. En otras palabras la materialización de una amenaza, pues como no existe el riesgo cero siempre es posible que una amenaza deje de ser tal para convertirse en una realidad.

• Impacto. Es la medición y valoración del daño que podría producir a la organización un incidente de seguridad. La valoración global se obtendrá sumando el coste de reposición de los daños tangibles y la estimación, siempre subjetiva, de los daños intangibles tales como la calidad del servicio y la imagen de la organización.

• Defensa. Cualquier medio, físico o lógico, empleado para eliminar o reducir un riesgo. Debe realizarse una valoración cuantitativa de su coste. Muchas veces se la conoce como medida de seguridad o prevención. Su objetivo es reducir el riesgo o el impacto.

• Defensa activa o medida de seguridad activa. Cualquier medida cuyo objetivo sea anular o reducir el riesgo de una amenaza como la instalación de un programa antivirus o el cifrado de la información.

• Defensa pasiva o medida de seguridad pasiva. Cualquier medida cuyo objeto sea. si se produce un incidente de seguridad, reducir el impacto. El ejemplo típico es el uso de las copias de seguridad de la información.

• Recurso de recuperación. Recurso necesario para la recuperación de las operaciones en caso de desastre, como las cintas magnéticas de salvaguarda o los equipos de respaldo.

• Acción de contingencia. Acción a realizar en caso de un incidente de seguridad. Por ejemplo cambiar el servidor de la red a otro equipo.

No hay comentarios:

Publicar un comentario