Actividad Análisis de riesgos
al125277994 de Noviembre de 2014
653 Palabras (3 Páginas)354 Visitas
Actividad 3. Análisis de riesgos
De acuerdo al caso propuesto por tu facilitador deberás realizar un análisis de riesgos, además de vincularlo a las políticas de seguridad.
Previo a la actividad:
1. identifica los pasos a seguir para el análisis de riesgos
Los resultados debieran guiar y determinar la acción de gestión apropiada y las prioridades para manejar los riesgos de la seguridad de la información y para implementar los controles seleccionados para protegerse contra estos riesgos.
La evaluación del riesgo debe incluir el enfoque sistemático de calcular la magnitud de los riesgos y el proceso de comparar los riesgos estimados con un criterio de riesgo para determinar la importancia de los riesgos.
Las evaluaciones del riesgo también se deberán realizar periódicamente para tratar los cambios en sus requerimientos de seguridad y en la situación del riesgo: por ejemplo en los activos, amenazas, vulnerabilidad, impactos, evaluación del riesgo, y cuando ocurren cambios significativos.
Identificar los peligros
Decidir quién puede ser dañado y como
Evaluar los riesgos y decidir las precauciones
Registrar sus hallazgos e implementarlos
Revisar su análisis y poner al día si es necesario
Los mecanismos de seguridad se dividen en tres grupos:
Prevención:
Evitan desviaciones respecto a la política de seguridad
Ejemplo: utilizar el cifrado en la transmisión de la información evita que un posible atacante capture y entienda información en un sistema de red.
Detección:
Detectar las desviaciones si se producen, violaciones o intentos de violación dela seguridad del sistema.
Ejemplo: la herramienta Tripwire para la seguridad de los archivos.
Recuperación:
Se aplican cuando se ha detectado una violación de la seguridad del sistema para recuperar su normal funcionamiento.
2. Investiga las estrategias más adecuadas para definir las políticas de seguridad en una organización:
• Documento
De la política de seguridad de la información aprobado por la gerencia y publicado a todos los empleados que incluya sus objetivos, alcances generales e importancia de la seguridad, requerimientos legislativos, reguladores y restrictivos, educación, capacitación y conocimiento de seguridad, gestión de la continuidad del negocio, consecuencias de las violaciones de estas, las reglas de seguridad que los usuarios deben observar.
• Control
La política de seguridad de la información debe ser revisada cuando ocurren cambios para asegurar su continua idoneidad, eficiencia y efectividad esta debe tener una persona responsable para su revisión y evaluación de la política de seguridad.
Deben existir procedimientos de revisión gerencial, incluyendo un cronograma o el periodo de la revisión.
• Organización de la seguridad de la información
Organización interna
Se debe establecer una fuente de consultoría sobre seguridad de la información y estar disponible dentro de la organización.
Se deben establecer una fuente de consultoría sobre seguridad de la información, contactos con los especialistas o grupos de seguridad externos, incluyendo las autoridades.
• Autorización de proceso para facilidades procesadoras de información
Nuevas facilidades deben tener autorización gerencial para su uso apropiado.
Hardware y software debe ser chequeado para asegurar su compatibilidad con otros componentes del sistema.
Uso de procesamiento de información personales o privados como laptops, computadores ya que puedan introducir
...