A continuacion hare una descripcion de los pasos con que debe contar una metodologia del analisis de riesgo, la cual se considera el punto central de la definicion de una estrategia de seguridad, perfectamente alineada con la vision de la organizacion dentro de su entorno de operacion.
Mediante este tipo de aproximación a la organización, se busca entender los diferentes aspectos que la conforman, tanto en el aspecto tecnológico, como en los procesos críticos, los cuales a su vez, son soportados por las aplicaciones y la infraestructura tecnológica.
Los siguientes elementos seran identificados en el marco de la norma de seguridad ISO17799.
-Descripcion de la organizacion y sus objetivos. Entendimiento de la organizacion, sus areas funcionales y su ubicacion geografica.
-El levantamiento de la infraestructura de tecnologia existente, en el cual se especificara y detallara la plataforma de hardware, software, comunicaciones y procesos utilizados.
-Listas de verificacion de la infraestructura Tecnologica: El objetivo de la lista de chequeo es identificar las vulnerabilidades de las plataformas tecnologicas.
Evaluacion de Riesgo
La evaluacion de riesgos identifica las amenazas, vulnerabilidades y riesgo de la informacion, sobre la plataforma tecnologica de una organizacion, con el fin de denegar un plan de implementacion de los criterios de disponibilidad, confidencialidad e integridad de la informacion.
Algunos puntos a favor son: La probalidad de la una amenaza. La magnitud del impacto sobre el sistema, la cual se mide por el nivel de degradacion de uno o combinacion de alguno de los siguientes elementos; confidencialidad, disponibilidad, integridad.
Determinacion de la probabilidad
Con el fin de derivar una probabilidad o una estimación de la ocurrencia de un evento, los siguientes factores deben ser tomados en cuenta:
-Fuente de la amenaza y su capacidad.
-Naturaleza de la vulnerabilidad.
La probabilidad que una vulnerabilidad potencial pueda ser explotada por una fuente de amenaza la podemos clasificar en:
Identificacion de Vulnerabilidades.
Para identificar las vulnerabilidades se utilizan herramientas como listas de verificacion y herraientas de software, que determinan vulnerabilidades a nivel del sistema operativo y firewall.
-Seguridad Fisisca: Desastres naturales, control de acceso, control de incendios, inundaciones.
-Seguridad en las conexiones a internet: Politicas en el firewall, VPN, deteccion de intrusos.
-Seguridad en la infraestructura de comunicaciones: Routers, Switches, Hubs y RAS.
Suscribirse a:
Enviar comentarios (Atom)
1 comentario:
no tienes una metodologia sencilla que se pueda utilizar en un proyecto tecnologico, gracias de antemano
Publicar un comentario