• No results found

Chapter III: Methodology

Phase 4: Analysis and Contrast

Se empieza por un análisis somero, de alto nivel, identificando rápidamente lo más crítico: activos de gran valor, vulnerabilidades manifiestas o, simplemente, recomendaciones de libro de texto porque no hay nada más prudente que aprender en cabeza ajena, aprovechando la experiencia de los demás.

8.8.1. Protección básica:

Es frecuente oír hablar de medidas básicas de protección (baseline) que deberían implantarse en todos los sistemas, salvo que se demuestre que no son pertinentes a algún caso particular.

Existen numerosas fuentes, entre las que cabe destacar: • Normas internacionales, por ejemplo [ISO 27002] • Normas sectoriales

• Normas corporativas, especialmente frecuentes en pequeñas delegaciones de grandes organizaciones

Las ventajas de protegerse por catálogo son: • es muy rápido

• cuesta menos esfuerzo que ponerse a analizar y decidir

• Se logra un nivel homogéneo con otras organizaciones parecidas

Apéndice 1. Glosario

Diferentes autores u organizaciones definen los mismos términos de diferentes formas y maneras.

A1.1. Términos en español

Aceptación del riego : Decisión informada a favor de tomar un riesgo

Acreditación: Acción de facultar a un sistema o red de información para que

procese da-tos sensibles, determinando el grado en el que el diseño y la materialización de dicho sistema cumple los requerimientos de seguridad técnica preestablecidos.

Activo: Componente o funcionalidad de un sistema de información

(software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos.

Amenaza : Causa potencial de un incidente que puede causar daños a un

sistema de información o a una organización

Aceptación del riesgo : Decisión informada a favor de tomar un riesgo

Análisis de impacto: Estudio de las consecuencias que tendría una parada

de X tiempo sobre la Organización .

Ataque : Intento de destruir, exponer, alterar o inhabilitar un sistema de información o la información que el sistema maneja, o violar alguna política de segu-ridad de alguna otra manera.

Auditoria de seguridad : Estudio y examen independiente del historial y actividades de un sistema de información, con la finalidad de comprobar la idoneidad de los controles del sistema, asegurar su conformidad con la estructura de seguridad y procedimientos operativos establecidos, a fin de detectar brechas en la seguridad y recomendar cambios en los procedimientos, controles y es-tructuras de seguridad.

Autenticidad Propiedad o característica consistente en que una entidad es

quien dice ser o bien que garantiza la fuente de la que proceden los datos.  Confidencialidad: Propiedad o característica consistente en que la

información ni se pone a dis-posición ni se revela a individuos, entidades o procesos no autorizados .

Aceptación de riesgo: Decisión informada a favor de tomar un riesgo.

Declaración de aplicabilidad : Documento formal en el que, para un conjunto

de salvaguardas, se indica sin son de aplicación en el sistema de información bajo estudio o si, por el contrario, carecen de sentido

Degradación: Pérdida de valor de un activo como consecuencia de la materialización de una amenaza.

Dimensión de seguridad: Un aspecto, diferenciado de otros posibles

aspectos, respecto del que se puede medir el valor de un activo en elsentido del perjuicio que causaría su pérdida de valor

Disponibilidad : Aseguramiento de que los usuarios autorizados tienen acceso

cuando lo requieran a la información y sus activos asociados

Impacto residual : Impacto remanente en el sistema tras la implantación de

las salvaguardas determinadas en el plan de seguridad de la información

Incidente de seguridad: Suceso (inesperado o no deseado) con

consecuencias en detrimento de la seguridad del sistema de información.

Mapa de riesgo: Informe: Relación de las amenazas a que están expuestos

Modelo de valor: Informe: Caracterización del valor que representan los

activos para la Organización así como de las dependencias entre los diferentes activos.

Plan de seguridad: Conjunto de proyectos de seguridad que permiten

materializar las decisiones de gestión de riesgos.

Probabilidad: Probabilidad (likelihood) – Posibilidad de que un hecho se

produzca.

Proyecto de seguridad: Agrupación de tareas orientadas a tratar el riesgo del

sistema.

Riesgo Acumulado: Dícese del calculado tomando en consideración el valor

propio de un activo y el valor de los activos que depende de él

Riesgos potenciales. Los riesgos del sistema de información en la hipótesis

de que no hubieran salvaguardas presentes.

Riesgo Residual: Riesgo remanente en el sistema después del tratamiento

del riesgo.

Seguridad de la información : Confianza en que los sistemas de información

están libres y exentos de todo peligro o daño inaceptables

Sistema de información : Los ordenadores y redes de comunicaciones

electrónicas, así como los datos electrónicos almacenados, procesados, recuperados o transmitidos por los mismos para su operación, uso, protección y mantenimiento .

Trazabilidad: Aseguramiento de que en todo momento se podrá determinar

quién hizo qué y en qué momento .

Valor: De un activo. Es una estimación del coste inducido por la materialización

de una amenaza.

Valor acumulado: Considera tanto el valor propio de un activo como el valor

de los activos que dependen de él.

Vulnerabilidad: Defecto o debilidad en el diseño, implementación u operación

de un sistema que habilita o facilita la materialización de una amenaza.

A1.2. Términos anglosajones :

Breve diccionario inglés-español de términos habituales en análisis y gestión de riesgos:

Acrónimos

ALE Annual Loss Expectancy

ARO Annual Rate of Occurrence

BIA Business Impact Analysis

Accountability Trazabilidad

Authenticity Autenticidad

Availability Disponibilidad

Asset Activo

Business Impact Analysis Análisis de impacto

Compliance Cumplimiento

Confidentiality Confidencialidad

Countermeasure Contra medida

Frequency Frecuencia

Impact Impacto

Information security Seguridad de la información

Information security incident Incidente de seguridad

Information system Sistema de información

Integrity Integridad

Residual risk Riesgo residual

Risk Riesgo

Risk acceptance Aceptación de riesgos

Risk analysis Análisis de riesgos

Risk assessment Análisis de riesgos

Risk management Gestión de riesgos

Risk map Mapa de riesgo

Risk treatment Tratamiento del riesgo

Safeguard Salvaguarda

Security Seguridad

Statement of applicability Documento de selección de

controles

Traceability Trazabilidad

Threat Amenaza

Value Valor

Vulnerability Vulnerabilidad

A1.3. ISO – Gestión del riesgo .

Definiciones:

Riesgo: Efecto de la incertidumbre sobre la consecución de los objetivos.

Proceso de gestión del riesgo: Aplicación sistemática de políticas,

procedimientos y prácticas de gestión a las activi-dades de comunicación, consulta, establecimiento del contexto, e identificación, análi-sis, evaluación, tratamiento, seguimiento y revisión del riesgo.

Dueño del riesgo :Persona o entidad que tiene la responsabilidad y autoridad

para gestionar un riesgo.

Tratamiento del riesgo :Proceso destinado a modificar el riesgo.

Related documents