Hola amigos! Mi primera entrada va a tratar sobre Políticas de Seguridad Informática.
Hoy en día, lo más valioso de la organización es su información. Y al obtenerla miembros externos a ella, ésta puede verse envuelta en grandes problemas. Por consiguiente, es fundamental que la organización invierta en un sistema seguro. Lógicamente no podemos hablar de un sistema cien por ciento seguro, pero sí se puede controlar todo un conjunto de vulnerabilidades.
De este modo, las Políticas de Seguridad Informática (PSI) son una herramienta organizacional para concientizar a cada uno de los miembros de la organización acerca de la importancia y sensibilidad de la información.
La política se refleja en una serie de protocolos, reglamentos y normas a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema. "Una Política de Seguridad es un conjunto
de requisitos definidos por los responsables de un sistema, que indica
en términos generales que está y que no está permitido en el área de
seguridad durante la operación general del sistema." (1) Ésta debe ser:
- Holística (cubrir todos los aspectos relacionados con la misma)
- Contemplar los elementos claves de seguridad (Integridad, Disponibilidad, Privacidad, Control, Autenticidad, Utilidad)
- Adecuarse a las necesidades de la organización y a los recursos disponibles.
- Ser atemporal.
- Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.
En un primer lugar se debe realizar una Evaluación de los Riesgos, teniendo en cuenta:
- La probabilidad de que ocurran cada uno de estos problemas;
- Su impacto económico;
- Se debe identificar qué se quiere proteger, dónde y cómo, realizando un análisis costo-beneficio, identificando los recursos con los que se cuenta (hardware, software, información personal.. ) con que se cuenta y las amenazas a que se está expuesto.
Los riesgos pueden ser ALTO, MEDIO, BAJO y MUY BAJO.
Éstos se clasifican por su nivel de importancia y por la severidad de su pérdida:
- Estimación del riesgo de pérdida del recurso (R i ) (de 0 a 10)
- Estimación de la importancia del recurso (I i ) (de 0 a 10)
De este modo, el Riesgo de un recurso es igual al producto de su importancia (I i) por el riesgo de perderlo (R i)
Y con esta fórmula es posible calcular el riesgo general de los recursos de la red:
En la próxima entrada les voy a hablar acerca de otros aspectos de las PSI.
Fuente: http://www.segu-info.com.ar/politicas/
(1)HUERTA, Antonio Villalón. Seguridad en Unix y redes. (Versión 1.2). Capítulo 16-Página 259
Muy buen aporte Bren, para poder introducirnos en las PSI. Pienso que debe haber una buena articulación entre los negocios y los intereses que persiguen las organizaciones en cuanto a resguardo de los datos. Y como punto de partida deberían clasificar la información teniendo en cuenta las prioridades de la empresa: información pública, de uso interno, restringida, etc. Coincido con vos en cuanto no hay sistemas 100% seguros! tanto por las amenazas internas y externas. Te doy el caso de Sony que en el año 2011 sufrió uno de los ataques más escandalosos. Los analistas calcularon que el agujero de seguridad pudo ocasionar una pérdida que superará ampliamente los 1.000 millones de dólares. No hay duda que la fuga de información es una enorme amenaza para las organizaciones. Acá paso el enlace que puede sumar un poco más al tema: http://www.welivesecurity.com/la-es/2012/09/12/que-se-debe-tener-cuenta-politica-seguridad-informacion/
ResponderBorrar