Normativa, tecnología y política para la seguridad informática


Escalón 3: Análisis de los riesgos y su Gestión global



Descargar 1.15 Mb.
Página7/14
Fecha de conversión22.09.2018
Tamaño1.15 Mb.
Vistas388
Descargas0
1   2   3   4   5   6   7   8   9   10   ...   14

2.9 Escalón 3: Análisis de los riesgos y su Gestión global


Las Organizaciones más complejas requieren un ‘tercer escalón’ de medidas que suele requerir la consulta a especialistas de seguridad y un proceso detallado de Análisis y Gestión de Riesgos para establecer hasta donde las salvaguardas son necesarias y rentables, así como para determinar la forma de implementarlas. La Gestión global de Seguridad de un Sistema de Información es una acción permanente, cíclica y recurrente (a reemprender continuamente debido a los cambios del sistema y de su entorno). Esta Gestión global se descompone en Fases sucesivas (la figura recoge este ciclo de Fases de la Gestión global de la seguridad):



  1. El ANÁLISIS Y GESTIÓN DE RIESGOS es la Fase nuclear de ‘medición’ y cálculo de la seguridad, de la que se ocupan métodos como MAGERIT con técnicas de proceso especiales (propias del ámbito de la seguridad, mientras que las demás Fases se apoyan en técnicas generales y más conocidas).

  2. La Fase de Determinación de OBJETIVOS, ESTRATEGIA y POLÍTICA de Seguridad de los Sistemas de Información se nutre y nutre a su vez la Fase de Análisis y Gestión de Riesgos.

  3. La Fase de Establecimiento de la PLANIFICACIÓN de la Seguridad de los Sistemas de Información deriva de la Fase de Análisis y Gestión de Riesgos como su consecuencia funcional más inmediata, usando técnicas generales de planificación adaptadas al ámbito de la seguridad.

  4. La Fase de Determinación de la ORGANIZACIÓN de la Seguridad de los Sistemas de Información deriva de la Fase de Análisis y Gestión de Riesgos como su consecuencia orgánica más inmediata. Utiliza técnicas generales de organización adaptadas al ámbito de la seguridad.

  5. La Fase de IMPLANTACIÓN de SALVAGUARDAS y otras medidas de Seguridad para los Sistemas de Información deriva de las Fases de Planificación y Organización.

  6. La Fase de ENTRENAMIENTO a la participación de todos en la Seguridad de los Sistemas de Información deriva de las Fases de Planificación y Organización y toma en cuenta el papel fundamental del recurso humano interno.

  7. La Fase de REACCIÓN a cada evento, de MANEJO y REGISTRO de las incidencias y de RECUPERACIÓN de Estados de Seguridad utiliza técnicas generales de Gestión cotidiana de seguridad y Atención a sus Emergencias.

  8. Una Fase complementaria de MONITORIZACIÓN y de GESTIÓN de CONFIGURACIÓN y de CAMBIOS en la Seguridad de los Sistemas de Información tiene un carácter de mantenimiento, con las técnicas apropiadas adaptadas al ámbito de la seguridad.

Los proyectos de complejidad media o alta en materia de seguridad requieren la realización de más de un ciclo de la Gestión global de seguridad, como puede verse en la figura siguiente.



La primera aplicación del ciclo de Gestión abarca todo el sistema en estudio: arranca de la Fase de Análisis y Gestión de Riesgos y permite clasificar en dos bloques los componentes del sistema:

  • a los componentes que implican riesgos menores bastará aplicar el ‘segundo escalón’ de medidas básicas de seguridad ‘práctica’ como las de la Guía de Aproximación de MAGERIT;

  • a cada uno de los componentes que implican riesgos mayores será necesario aplicar un nuevo Análisis y Gestión de Riesgos más detallado.

Esta primera aplicación ofrece así una primera visión sintética de la seguridad con ayuda de las otras fases del ciclo de Gestión de Seguridad, es decir: una Determinación global de Objetivos, Estrategia y Política de Seguridad; una Planificación inicial de la Seguridad; una primera determinación de la Organización necesaria para la Seguridad; la Implantación de salvaguardas básicas en los componentes de riesgos bajos; el Entrenamiento a la participación de todos en la seguridad de componentes de riesgos bajos; y la preparación a la Reacción ante cada evento, el manejo y registro de las incidencias y la recuperación de Estados aceptables de Seguridad ligados a los componentes de riesgo bajo.

Las aplicaciones siguientes a los componentes retenidos por sus riesgos mayores arrancan de una nueva aplicación de la Fase de Análisis y Gestión de Riesgos, enfocada con un detalle proporcionado al riesgo detectado. Esto exige la aplicación de niveles o criterios.24


Compartir con tus amigos:
1   2   3   4   5   6   7   8   9   10   ...   14


La base de datos está protegida por derechos de autor ©psicolog.org 2019
enviar mensaje

enter | registro
    Página principal


subir archivos