La RAE define seguro como: “Libre y exento de todo peligro, daño o riesgo.”
Enviado por Christopher • 12 de Enero de 2019 • 4.286 Palabras (18 Páginas) • 599 Visitas
...
Recuperación: Medidas tomadas para restaurar el estado al momento previo a que se ocasionasen los daños.
4. Gestión de riesgos
Entendemos el riesgo como la posibilidad de que una amenaza se materialice aprovechando una vulnerabilidad y viene dado por la siguiente ecuación:
Riesgo = Amenaza x Vulnerabilidad x Valor del bien
Analizando esta ecuación, vemos que el riesgo aumenta cuando aumentan tanto las amenazas como las vulnerabilidades como el valor de los bienes (o varios de ellos, lógicamente).
Impacto: Daños o consecuencias que ocasiona la materialización de una amenaza. Los impactos se pueden clasificar en:
- Impactos cuantitativos: Son aquellos que se pueden cuantificar económicamente.
- Impactos cualitativos: suponen daños no cuantificables económicamente, como por ejemplo, un ataque que no suponga pérdidas económicas pero que deja notablemente dañada la reputación de la empresa. Puede ocasionar impactos cuantitativos indirectamente.
4.1. Proceso de estimación de riesgos
- Identificación de riesgos: Lista de riesgos potenciales que pueden afectar a la organización.
- Análisis de riesgos: Medición de la probabilidad y el impacto de cada riesgo.
- Evaluación de riesgos: Lista de riesgos ordenados por su impacto y su probabilidad de ocurrencia.
Todo este proceso está fundamentado en una base teórica. Tomando como base metodológica a, MAGERIT
MAGERIT es un instrumento para facilitar la implantación y aplicación del Esquema Nacional de Seguridad proporcionando los principios básicos y requisitos mínimos para la protección adecuada de la información
Sus principales objetivos son:
- Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.
- Ofrecer un método sistemático para analizar tales riesgos.
- Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.
- Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.
4.2. Políticas de seguridad
Una política de seguridad es el documento donde se van a plasmar todos los objetivos de la empresa en lo relacionado a seguridad de la información. Se define la manera de hacer un buen uso de los recursos hardware y software de la organización. Esto se logra:
- Concienciando a todo el personal en lo relativo a seguridad.
- Identificando las necesidades de seguridad
- Detectando las vulnerabilidades y el riesgo que entrañan en caso de ser aprovechadas por un atacante
- Estableciendo diferentes procedimientos para afrontar los problemas que puedan surgir.
- Etc.
4.3. Auditorías
La auditoría informática, consiste en una serie de procesos que se aplican para proteger los recursos de la empresa y asegurar un correcto funcionamiento.
Una auditoría puede llevarse a cabo por personal de la propia empresa o por personal ajeno a la misma, siendo esta opción la más aconsejable. La razón por la que es preferible que la auditoría se lleve a cabo por una persona o equipo ajeno a la empresa es de sentido común: si el encargado de los sistemas informáticos analiza los riesgos existentes con el fin de detectar deficiencias, es probable que su criterio no sea del todo objetivo.
Las etapas generales de una auditoría de podrían resumir a los siguientes puntos:
- Evaluación inicial del entorno auditable.
- Definición del alcance y los objetivos de la auditoría.
- Planificación.
- Puesta en marcha del proceso.
- Informe y propuestas de mejora.
- Seguimiento.
Muchos de estos procesos se pueden automatizar y, por ello, existen numerosos programas destinados a auditoría de seguridad.
4.4. Plan de contingencias
Un plan de contingencias es un instrumento de gestión que consiste en una serie de medidas a llevar a cabo de forma complementaria al funcionamiento habitual de la empresa. Su objetivo es garantizar la continuidad del negocio de una organización en caso de se produzca un impacto.
Para ello, un plan de contingencias se desarrolla en tres subplanos independientes:
- Plan de respaldo: consiste en una serie de medidas preventivas. Su objetivo es simplemente tratar que no se materialicen las amenazas que puedan llegar a causar un impacto.
- Plan de emergencia: en este caso, el momento de aplicar el plan es durante el desastre, por tanto, el objetivo en este caso es paliar los daños del ataque.
- Plan de recuperación: como su propio nombre indica, en este caso se trata de recuperarse, restaurar el sistema y minimizar los daños tras un impacto.
Es de suma importancia que el personal de la empresa conozca perfectamente el plan de contingencias para actuar en consecuencia. De lo contrario, perdería gran parte de su sentido.
5. Legislación: LOPD
¿Sabías que la rectificación de los datos de carácter personal de un ciudadano, custodiados por una empresa o entidad, es un derecho establecido por ley junto a otros como el de cancelación u oposición?
En la constitución de 1978 ya se recoge el derecho a la protección de datos de carácter personal. En 1992 nace la LORTAD, primera Ley que regula de forma específica el tratamiento de los datos de carácter privado. Actualmente, la LORTAD, se encuentra derogada dando paso desde 1999 a la LOPD, (acrónimo de Ley Orgánica de Protección de Datos).
Es importante conocer las
...