Mediante este tipo de aproximación a la organización, se busca entender los diferentes aspectos que la conforman, tanto en el aspecto tecnológico, como en los procesos críticos, los cuales a su vez, son soportados por las aplicaciones y la infraestructura tecnológica.
Los siguientes elementos seran identificados en el marco de la norma de seguridad ISO17799.
-Descripcion de la organizacion y sus objetivos. Entendimiento de la organizacion, sus areas funcionales y su ubicacion geografica.
-El levantamiento de la infraestructura de tecnologia existente, en el cual se especificara y detallara la plataforma de hardware, software, comunicaciones y procesos utilizados.
-Listas de verificacion de la infraestructura Tecnologica: El objetivo de la lista de chequeo es identificar las vulnerabilidades de las plataformas tecnologicas.
Evaluacion de Riesgo
La evaluacion de riesgos identifica las amenazas, vulnerabilidades y riesgo de la informacion, sobre la plataforma tecnologica de una organizacion, con el fin de denegar un plan de implementacion de los criterios de disponibilidad, confidencialidad e integridad de la informacion.
Algunos puntos a favor son: La probalidad de la una amenaza. La magnitud del impacto sobre el sistema, la cual se mide por el nivel de degradacion de uno o combinacion de alguno de los siguientes elementos; confidencialidad, disponibilidad, integridad.
Determinacion de la probabilidad
Con el fin de derivar una probabilidad o una estimación de la ocurrencia de un evento, los siguientes factores deben ser tomados en cuenta:
-Fuente de la amenaza y su capacidad.
-Naturaleza de la vulnerabilidad.
La probabilidad que una vulnerabilidad potencial pueda ser explotada por una fuente de amenaza la podemos clasificar en:
Identificacion de Vulnerabilidades.
Para identificar las vulnerabilidades se utilizan herramientas como listas de verificacion y herraientas de software, que determinan vulnerabilidades a nivel del sistema operativo y firewall.
-Seguridad Fisisca: Desastres naturales, control de acceso, control de incendios, inundaciones.
-Seguridad en las conexiones a internet: Politicas en el firewall, VPN, deteccion de intrusos.
-Seguridad en la infraestructura de comunicaciones: Routers, Switches, Hubs y RAS.
1 comentario:
no tienes una metodologia sencilla que se pueda utilizar en un proyecto tecnologico, gracias de antemano
Publicar un comentario