PERSPECTIVA
DE SEGURIDAD
Juan Carlos Cubillos Pinzón
John Victoria
Esteban vega
1. Identificar
recursos sensibles
Básicamente
se debe recomponer toda la estructura del la empresa ya que si se sigue
pensando en solucionar la seguridad de a pocos es muy difícil que se tomen
decisiones verdaderas y claras, por lo anterior se identifica en el problema:
Integridad. Es necesario asegurar que los datos
no sufran cambios no autorizados, la pérdida de integridad puede acabar en
fraudes, decisiones erróneas o como paso a otros ataques. El sistema contiene
información que debe se protegida de modificaciones imprevistas, no autorizas o
accidentales, como información de censo o sistemas de transacciones
financieras.
Disponibilidad. La continuidad operativa de la
entidad, la pérdida de disponibilidad puede implicar, la pérdida de productividad
o de credibilidad de la entidad. El sistema contiene información o proporciona
servicios que deben estar disponibles a tiempo para satisfacer requisitos o
evitar pérdidas importantes, como sistemas esenciales de seguridad y protección
de la vida.
Confidencialidad. La protección de datos frente a la
difusión no autorizada, la pérdida de confidencialidad puede resultar en
problemas legales, pérdida del negocio o de credibilidad. El sistema contiene
información que necesita protección contra la divulgación no autorizada, como
información parcial de informes, información personal o información comercial
patentada
2. Definir políticas se
seguridad
Para
la definición de políticas de seguridad se tendrán en cuenta:
La política: La directriz de alto nivel en la cual
se expresan valores y objetivos de la
organización para proporcionar dirección y soporte a la alta gerencia en los temas relacionados con seguridad
informática.
Estandarización de la solución: Requisitos de obligatorio
cumplimiento, que especifican tecnologías y métodos, para implementar las políticas de
seguridad informática expuestas por la alta gerencia, establecen un marco de acción coordinado que
busca alinear los esfuerzos de la organización para procurar los fundamentos de la seguridad
informática.
Procedimiento: El conjunto de pasos operacionales
específicos sugeridos para efectuar una
labor particular, que se puede modificar en respuesta a los cambios en la
dinámica del negocio y la tecnología.
P.e Procedimiento para toma de respaldos.
En términos generales, este
mecanismo apoya todos los fundamentos de seguridad informática
3. Identificar las amenazas
del sistema (Árbol de ataque)
4. Diseñar implementación
de seguridad
Una
vez la política ha sido aprobada formalmente, se pasa a la fase de
implementación.
Comunicación: La comunicación de la política es la
primera etapa que se realiza en esta fase. La política debe ser inicialmente
difundida a los empleados del banco o a quienes sean afectados directamente por
la política (contratistas, proveedores, usuarios de cierto servicio, etc.).
Esta etapa implica determinar el alcance y el método inicial de distribución de
la política. Debe planificarse esta etapa con el fin de determinar los recursos
necesarios y el enfoque que debe ser seguido para mejorar la visibilidad de la
política.
Cumplimiento: Implementar la política. La etapa de
cumplimiento incluye actividades relacionadas con la ejecución de la política. Implica
trabajar con otras personas del banco, directores,
jefes de departamentos, directores de grupo (de división o de sección) para
interpretar cuál es la mejor manera de implementar la política en diversas
situaciones y oficinas; asegurando que la política es entendida por aquellos
que requieren implementarla, monitorearla, hacerle seguimiento, reportar
regularmente su cumplimiento y medir el impacto inmediato de la política en las
actividades operativas. Dentro de estas actividades está la elaboración de informes
a la administración del estado de la implementación de la política.
Excepciones: Gestionar las situaciones donde la
implementación no es posible Debido a problemas de coordinación, falta de
personal y otros requerimientos operacionales, no todas las políticas pueden
ser cumplidas de la manera que se pensó al comienzo. Por esto, cuando los casos
lo ameriten, es probable que se requieran excepciones a la política para
permitir a ciertas oficinas o personas el no cumplimiento de la política. Debe
establecerse un proceso para garantizar que las solicitudes de excepciones son registradas,
seguidas, evaluadas, enviadas para aprobación o desaprobación, documentadas y
vigiladas a través del periodo de tiempo establecido para la excepción. El
proceso también debe permitir excepciones permanentes a la política al igual
que la no aplicación temporal por circunstancias de corta duración.
5. Evaluar los riesgos.
Tipo de Riesgo
|
Factor
|
Robo
de hardware
|
Alto
|
Robo
de información
|
Alto
|
Vandalismo Medio
|
Medio
|
Fallas
en los equipos
|
Medio
|
Virus
Informáticos
|
Medio
|
Equivocaciones
|
Medio
|
Accesos
no autorizados
|
Medio
|
Fraude
|
Bajo
|
Fuego
|
Muy
Bajo
|
Terremotos
|
Muy
Bajo
|
No hay comentarios:
Publicar un comentario