Implantando un conjunto de salvaguardas mecanismos o acciones encaminados a reducir los riesgos de seguridad provocados por las amenazas a los sistemas de información.
Las salvaguardas a implantar se seleccionan teniendo en cuenta los atributos de la información a proteger (confidencialidad, integridad y disponibilidad).
En la selección de salvaguardas se consideran:
las características de las amenazas que atentan contra la información,
la vulnerabilidad o probabilidad de materialización de cada amenaza sobre los activos de información y
el impacto o daño producido por un posible incidente o agresión sobre un activo, visto como diferencia en las estimaciones de los estados de seguridad obtenidas antes y después del evento.
Las salvaguardas no son uniformes para todos los sistemas. El nivel del riesgo debiera determinar el nivel de control adecuado. Cada riesgo se puede tratar mediante la aplicación de uno o varias salvaguardas de seguridad.
Las salvaguardas se pueden clasificar en tres categorías principales:
administrativas
físicas
técnicas
Las salvaguardas administrativas incluyen las políticas y procedimientos de seguridad. Las políticas establecen lo que los usuarios pueden y no pueden hacer al utilizar los recursos informáticos de la organización mientras que los procedimientos estan relacionados con la renovación de claves de acceso, las autorizaciones para acceder a los recursos, la revisión y validación periódica de la vigencia del tipo acceso, la asignación de responsabilidades, conocimientos de la seguridad y formación técnica, gestión y supervisión de las tecnologías y soluciones aplicadas, la recuperación tras averías o fallos y la realización y aplicación de planes de contingencia. Los controles administrativos también incluyen la revisión de seguridad y los informes de auditoria, que se utilizan para identificar si los usuarios siguen las políticas y procedimientos. Finalmente, los controles administrativos incluyen la asignación de propiedad de los datos y los recursos. Cada persona de la organización debe de tener claras sus responsabilidades relativas a la seguridad de cada componente a su cuidado.
Las salvaguardas físicas limitan el acceso físico directo a los equipos. Incluyen cerraduras, bloqueos para teclados, vigilantes de seguridad, alarmas y sistemas ambientales para la detección de agua, fuego y humo. Las salvaguardas físicas también incluyen sistemas de respaldo y alimentación de reserva, tales como baterías y fuentes de alimentación ininterrumpida (UPS).
Las salvaguardas técnicas son controles que se implantan a través de soportes físicos o lógicos difíciles de vencer y que, una vez implantados, pueden funcionar sin la intervención humana.. El soporte lógico específico incluye antivirus, firmas digitales, cifrado, programas de control de biblioteca, herramientas de gestión de red, contraseñas, tarjetas inteligentes, control de acceso de llamadas, sistemas de rellamada, seguimiento de huellas o trazas de auditoría y sistemas expertos de detección de intrusiones.
Todas las salvaguardas se pueden subdividir en preventivas y correctivas. Las primeras intentan evitar que ocurran acontecimientos indeseados, mientras que las salvaguardas correctivas se orientan a identificar los incidentes y reducir sus efectos después de que hayan sucedido.
Aunque siempre es preferible evitar un incidente de seguridad a tener que hacerle frente a posteriori, es necesario incorporar también salvaguardas correctivas para identificar los problemas con suficiente rapidez, reducir los daños al mínimo y poder valorar su magnitud con la máxima precisión posible.
Las salvaguardas a implantar se seleccionan teniendo en cuenta los atributos de la información a proteger (confidencialidad, integridad y disponibilidad).
En la selección de salvaguardas se consideran:
las características de las amenazas que atentan contra la información,
la vulnerabilidad o probabilidad de materialización de cada amenaza sobre los activos de información y
el impacto o daño producido por un posible incidente o agresión sobre un activo, visto como diferencia en las estimaciones de los estados de seguridad obtenidas antes y después del evento.
Las salvaguardas no son uniformes para todos los sistemas. El nivel del riesgo debiera determinar el nivel de control adecuado. Cada riesgo se puede tratar mediante la aplicación de uno o varias salvaguardas de seguridad.
Las salvaguardas se pueden clasificar en tres categorías principales:
administrativas
físicas
técnicas
Las salvaguardas administrativas incluyen las políticas y procedimientos de seguridad. Las políticas establecen lo que los usuarios pueden y no pueden hacer al utilizar los recursos informáticos de la organización mientras que los procedimientos estan relacionados con la renovación de claves de acceso, las autorizaciones para acceder a los recursos, la revisión y validación periódica de la vigencia del tipo acceso, la asignación de responsabilidades, conocimientos de la seguridad y formación técnica, gestión y supervisión de las tecnologías y soluciones aplicadas, la recuperación tras averías o fallos y la realización y aplicación de planes de contingencia. Los controles administrativos también incluyen la revisión de seguridad y los informes de auditoria, que se utilizan para identificar si los usuarios siguen las políticas y procedimientos. Finalmente, los controles administrativos incluyen la asignación de propiedad de los datos y los recursos. Cada persona de la organización debe de tener claras sus responsabilidades relativas a la seguridad de cada componente a su cuidado.
Las salvaguardas físicas limitan el acceso físico directo a los equipos. Incluyen cerraduras, bloqueos para teclados, vigilantes de seguridad, alarmas y sistemas ambientales para la detección de agua, fuego y humo. Las salvaguardas físicas también incluyen sistemas de respaldo y alimentación de reserva, tales como baterías y fuentes de alimentación ininterrumpida (UPS).
Las salvaguardas técnicas son controles que se implantan a través de soportes físicos o lógicos difíciles de vencer y que, una vez implantados, pueden funcionar sin la intervención humana.. El soporte lógico específico incluye antivirus, firmas digitales, cifrado, programas de control de biblioteca, herramientas de gestión de red, contraseñas, tarjetas inteligentes, control de acceso de llamadas, sistemas de rellamada, seguimiento de huellas o trazas de auditoría y sistemas expertos de detección de intrusiones.
Todas las salvaguardas se pueden subdividir en preventivas y correctivas. Las primeras intentan evitar que ocurran acontecimientos indeseados, mientras que las salvaguardas correctivas se orientan a identificar los incidentes y reducir sus efectos después de que hayan sucedido.
Aunque siempre es preferible evitar un incidente de seguridad a tener que hacerle frente a posteriori, es necesario incorporar también salvaguardas correctivas para identificar los problemas con suficiente rapidez, reducir los daños al mínimo y poder valorar su magnitud con la máxima precisión posible.
No hay comentarios:
Publicar un comentario