Scribd Logo
Importer

Bienvenue sur Scribd !

  • Normatividad de La Seguridad Informática

    Transféré par

    Andres Castro
    33 vues4 pages
    Simo 3

    Copyright

    © © All Rights Reserved

    Formats disponibles

    DOCX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    Simo 3

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    33 vues4 pages

    Normatividad de La Seguridad Informática

    Transféré par

    Andres Castro
    Simo 3

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 4

    CASO SIMON

    III
    Al ser identificados los activos, podemos determinar su nivel de importancia y determinar
    el dao que puede causar si el activo fuera deteriorado en confidencialidad, integridad y
    disponibilidad, para desarrollar el caso simn 3 primero debemos de conocer los conceptos
    relacionados con el anlisis de riesgos y la seguridad en la informacin:
    Amenaza: Es la causa potencial de un dao a un activo.
    Vulnerabilidad: Debilidad de un activo que puede ser aprovechada por una amenaza.

    Impacto: consecuencias de que la amenaza ocurra.


    Riesgo intrnseco: clculo del dao probable a un activo si se encontrara desprotegido.

    Salvaguarda: Medida tcnica u organizativa que ayuda a disminuir el riesgo.


    Riesgo residual: Riesgo remanente tras la aplicacin de salvaguardas

    Normatividad de la seguridad informtica

    El sistema de gestin de la seguridad de la informacin preserva la confidencialidad, la


    integridad y la disponibilidad de la informacin, mediante la aplicacin de un proceso de
    gestin del riesgo, y brinda confianza a las partes interesadas acerca de que los riesgos son
    gestionados adecuadamente.

    De acuerdo a la normativa de seguridad informtica podemos ver los riegos que tienen los
    activos y as poder reducirlos con estrategias que podamos facilitar las tareas del buen uso
    de la informacin. Tenemos que realizar unos pasos para poder identificar los factores de
    riegos y as prevenirlos lo menor posible.

    IDENTIFICAR AMENAZAS

    Una vez identificado los activos de la organizacin podemos definir cules son las
    vulnerabilidades de los activos:

    Atendiendo a su origen, existen dos tipos de amenazas:

    Externas: Que son las causadas por alguien (hackers, proveedores, clientes, etc.) o algo que
    no pertenece a la organizacin. Ejemplos de amenazas de este tipo son los virus y las
    tormentas.

    Internas: Estas amenazas son causadas por alguien que pertenece a la organizacin, por
    ejemplo, errores de usuario o errores de configuracin.
    VALORACIN DEL RIESGO:

    Se debe realizar para que los directivos tomen las mejores decisiones, llegado el caso que
    se necesite actuar.

    Para realizar la valoracin del riesgo, se debe identificar los activos de informacin de la
    empresa, y determinar el valor de stos. Con estos elementos, se procede a identificar el
    grado de exposicin e impacto que puede generar a la organizacin, si los activos son
    alterados de alguna forma.

    Para determinar la probabilidad de que ocurra la amenaza se establecen las siguientes


    frecuencias:

    Nada Frecuente.
    Poco Frecuente.
    Normal.
    Frecuente.
    Muy Frecuente.

    VALORACIN DEL IMPACTO:

    La valoracin del impacto puede medirse en funcin de varios factores: la prdida


    econmica si es posible cuantificar la cantidad de dinero que se pierde, la reputacin de la
    empresa dependiendo si el riesgo pueda afectar la imagen de la empresa en el mercado o
    de acuerdo al nivel de afectacin por la prdida o dao de la informacin.

    REDUCCIN DE RIESGOS:

    A travs de implementar medidas de proteccin se pueden reducir los riesgos.


    Estas medidas son:

    Medidas De Proteccin

    Medidas dependiendo del grado de riesgo


    Medio riesgo: medidas parciales para mitigar dao
    Alto riesgo: medidas exhaustivas para evitar dao

    Verificacin de funcionalidad
    Respaldado por coordinacin
    Esfuerzo adicional y costos vs eficiencia
    Evitar medidas pesadas o molestas
    Fundado en normas y reglas

    Actividades, frecuencia y responsabilidades


    Publicacin

    CONTROLES DE RIESGO

    El objetivo es reducir el nivel de riesgo al que el sistema en estudio est expuesto, llevndolo
    a un nivel aceptable, y constituye la base inicial para la actividad siguiente de seleccin e
    implantacin de controles
    Es importante realizar estos controles ya que ayuda a mitigar o eliminar los riesgos
    encontrados.

    Las normativas o los estndares que recomiendo para el caso simn seria:

    ISO/IEC 27005: es el estndar internacional que se ocupa de la gestin de riesgos de


    seguridad de informacin. La norma suministra las directrices para la gestin de riesgos de
    seguridad de la informacin en una empresa, apoyando particularmente los requisitos del
    sistema de gestin de seguridad de la informacin definidos en ISO 27001.

    ISO/IEC 27008: es un estndar que suministra orientacin acerca de la implementacin y


    operacin de los controles, es aplicable a cualquier tipo y tamao de empresa, tanto pblica
    como privada que lleve a cabo revisiones relativas a la seguridad de la informacin y los
    controles de seguridad de la informacin.

    Vous aimerez peut-être aussi