Cuestiones y ejercicios (1 de 2) 1. Qu es y qu significa hacer un anlisis de riesgos?

Estudian la posibilidad y las consecuencias de cada factor de riesgo con el fin de establecer el nivel de riesgo de nuestro proyecto. El anlisis de los riesgos determinar cules son los factores de riesgo que potencialmente tendran un mayor efecto sobre nuestro proyecto y, por lo tanto, deben ser gestionados por el emprendedor con especial atencin. Es el proceso de identificacin y evaluacin del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparndolo con el costo que significara la prevencin de este suceso. Su anlisis no slo nos lleva a establecer un nivel adecuado de seguridad, sino que permite conocer mejor el sistema que vamos a proteger. Informacin que se obtiene en un anlisis de riesgo: Determinacin precisa de los recursos sensibles de la organizacin. Identificacin de las amenazas del sistema. Identificacin de las vulnerabilidades especficas del sistema. Identificacin de posibles prdidas. Identificacin de la probabilidad de ocurrencia de una prdida. Derivacin de contramedidas efectivas. Identificacin de herramientas de seguridad. Implementacin de un sistema de seguridad eficiente en costes y tiempo. 2. Explique el sentido de las ecuaciones B > P L y B PL. B P L, significa que hay que implementar una medida de prevencin, porque tenemos que proteger un bien que es costoso y que su proteccin bien valdra la pena por la informacin valiosa que proporciona o si de ella dependiera el funcionamiento de la empresa. B P L, significa que no es necesaria una medida de prevencin, porque no tiene sentido alguno invertir ms dinero en la proteccin del bien que el propio valor de ste 3. Tras un estudio, obtenemos B > P L, podemos estar totalmente tranquilos al no utilizar medida alguna de prevencin? No, porque siempre suceden situaciones en la cual se tendr que poner un nivel de seguridad, esto se demuestra con un ejemplo como la tragedia del los atentados de los ferrocarriles en Espaa y lo del atentado del 11 de septiembre donde se perdi informacin importante de las empresas que operaban, a pesar de contar con bienes muy valiosos y no tan valiosos la situacin fue muy desalentadora porque todo ese conjunto de informacin o bienes no tan valiosos se convirtieron en algo primordial el cual no se recupero. 4. Explique qu significan los factores L y P en la ecuacin B > P L. B: es la carga o gasto que significa la prevencin de una prdida especfica debido a una vulnerabilidad. P: es la pprobabilidad de que se vea afectada dicha vulnerabilidad y ocurra esa prdida especfica. L: es el impacto o coste total que significa la prdida especfica debido a esa vulnerabilidad que ha sido afectada por una amenaza. Factor L (en B P L) El factor de impacto total L es difcil de evaluar. Incluye daos a la informacin, a los equipos, prdidas por reparacin, por volver a levantar el sistema, prdidas por horas de trabajo, etc. Siempre habr una parte de valoracin subjetiva. La prdida de datos puede llevar a una prdida de oportunidades por el llamado efecto cascada. En la organizacin debe existir una comisin especializada interna o externa que sea capaz de evaluar todas las posibles prdidas y cuantificarlas.

Factor P (en B P L) El factor P est relacionado con la determinacin del impacto total L y depende del entorno en el que est la posible prdida. Como este valor es difcil de cuantificar, dicha probabilidad puede asociarse a una tendencia o frecuencia conocida. Una vez se conoce P para un L dado, se obtiene la probabilidad de prdida relativa de la ocurrencia PL que se comparar con B, el peso que nos supondra implantar la medida de prevencin respectiva.

5. Cules son los pasos a seguir en un anlisis de riesgo de acuerdo a los factores de la ecuacin de B > PL?

6. En algunos sistemas de gestin de informacin a veces prima ms el elemento confidencialidad, en cambio en otros ms el de integridad. D algunos ejemplos en que pueda cumplirse al menos en parte este escenario. Qu opina respecto a una transaccin electrnica? Se entiende la Confidencialidad como que la informacin pueda ser vista por quien tiene ese derecho y de acuerdo al nivel de acceso permitido, en este caso un ejemplo seria las distintas operaciones que realiza un cliente en el banco o en un cajero, se mantendr una clave el cual solo el cliente deber saberlo. En cuanto a la Integridad, se refiere a la forma en que protegemos la informacin de cambios intencionales o accidentales no autorizados (prevenir que la informacin se contamine), en este caso podemos mencionar como ejemplo a las empresas bancarias que trabajan con almacenamiento de datos de sus clientes en la cual no se puede mostrar a todo el personal, sino a los que solo tiene el nivel de permiso y as mantener integra la informacin. 7. Comente el modelo de seguridad de Bell Lapadula. Por qu se le llama el modelo de la tranquilidad? El modelo Bell-La Padula se desarroll en 1976 por la organizacin Mitre fundada por el gobierno de los Estados Unidos para elaborar los estudios referentes a modelos de seguridad militar, este modelo consiste en dividir el permiso de acceso de los usuarios a la informacin en funcin de etiquetas de seguridad. Las propiedades indican las reglas para definir un estado seguro. Por lo tanto la realizacin de la operacin depende de s se cumplen o no estas propiedades. Este modelo busca preservar la confidencialidad de la informacin y no tiene en cuenta otros principios como integridad o disponibilidad. Propiedad bsica.- un sujeto solo puede leer los objetos cuyo nivel de seguridad sea menor o igual que el nivel de seguridad del sujeto. Propiedad estrella.- Solo se permiten escrituras cuando el nivel de seguridad del sujeto es menor o igual que el nivel de seguridad del objeto. Propiedad de acceso discrecional.- Se establecen los permisos que un sujeto tiene sobre un objeto.

8. Ud. es el responsable de seguridad y detecta que un empleado est robando informacin confidencial, cmo reaccionara? Aplicar las normas y reglamentos de seguridad que se dieron como protocolos de polticas de seguridad sobre el empleado. 9. Cules pueden ser las prdidas en una empresa si no se cuenta con un adecuado Plan de Contingencia y sucede un desastre? Las empresas dependen hoy en da de los equipos informticos y de todos los datos que hay all almacenados (nminas, clientes, facturas,...). Dependen tambin cada vez ms de las comunicaciones a travs de las redes de datos. Prdida de clientes. Prdida de imagen. Prdida de ingresos por beneficios. Prdida de ingresos por ventas y cobros. Prdida de ingresos por produccin. Prdida de competitividad en el mercado. Prdida de credibilidad en el sector. 10. Qu es un Plan de Contingencia y por qu es importante? Un Plan de Contingencia consiste en un estudio y anlisis pormenorizado de las reas que componen la organizacin y que nos servir para establecer una poltica de recuperacin ante un desastre. Es un conjunto de datos estratgicos de la empresa y que se plasma en un documento con el fin de protegerse ante eventualidades. 11. Nuestra empresa est a medias entre el rubro distribucin y el de las finanzas. Resulta estratgico tener aqu un Plan de Contingencia? S, porque es muy importante para aumentar el nivel de seguridad para la empresa y tambin para sus clientes y personal, con un plan estratgico la empresa tambin gana en el conocimiento de sus fortalezas y sus debilidades. Pero si no lo hace, se expone a sufrir una prdida irreparable mucho ms costosa que la implantacin de este plan. 12. Qu soluciones tenemos para que un banco no se vea afectado por un desastre y pueda seguir trabajando con sus clientes con un tiempo de recuperacin bajo o mnimo? Cmo sera su coste? Hay que contratar los profesionales adecuados en temas de seguridad de informacin, luego elaborar y construir el plan de contingencia requerida en la empresa, para despus implantarla, la cual servir para la proteccin de los datos almacenados de nuestros clientes, de esta manera el nivel de seguridad ser muy confiable y permitir el acceso de manera instantnea a toda la informacin que el banco haya almacenado. Logrando as un costo de pago menor por la contratacin de personal, ya que si no contara con este plan el costo sera ms elevado debido a la prdida de clientes. 13. Se pueden prever situaciones extremas como lo acontecido con las torres gemelas? En qu tipo de empresas o instituciones no deben descartarse estos extremos? En una empresa que vende coches? La empresa debe tomar la decisin de contratar personal calificado y profesional en los temas de seguridad. Cada empresa siempre debe no descartar la posibilidad de adquirir el nivel de seguridad apropiada En el caso de una empresa que vende coches sufrir constantes amenazas de infiltracin de personas ajenas, para manipular los autos que se venden. En este caso se debe crear un nivel de seguridad que permita monitorear las instalaciones de la empresa y la de los empleados.