Definición de necesidades en términos de seguridad informática

Octubre 2017

Etapa de definición

La etapa de definición de las necesidades de seguridad es el primer paso hacia la implementación de una política de seguridad.

El objetivo es determinar las necesidades de organización mediante la redacción de un inventario del sistema de información y luego estudiar los diferentes riesgos y las distintas amenazas que representan para implementar una política de seguridad apropiada.



La etapa de definición se compone entonces de tres etapas:

  • Identificación de las necesidades
  • Análisis de los riesgos
  • Definición de la política de seguridad

Identificación de las necesidades

La etapa de identificación de las necesidades consiste en realizar en primer lugar un inventario del sistema de información, en particular de la siguiente información:

  • Personas y funciones
  • Materiales, servidores y los servicios que éstos brindan
  • Esquematización de la red (esquema de direcciones, topologías físicas y lógicas, etc.)
  • Lista de los nombres de dominio de la empresa.
  • Infraestructura de la comunicación (routers, conmutadores, etc.)
  • Información delicada



Análisis de los riesgos

La etapa de análisis de riesgos consiste en relevar los diferentes riesgos que se advierten, estimar sus probabilidades y, por último, estudiar su impacto.

La mejor forma de analizar el impacto de una amenaza consiste en calcular el costo de los daños que causaría (por ejemplo, un ataque a un servidor o un daño de los datos de vital importancia de la compañía).

Partiendo de esta base, sería interesante confeccionar una tabla de riesgos y de sus potencialidades (es decir, la probabilidad de que existan) dándoles niveles escalonados de acuerdo con una escala que debe definirse. Por ejemplo:

  • Infundado (o improbable): la amenaza es insostenible
  • Débil: la amenaza tiene pocas probabilidades de existir
  • Moderada: la amenaza es real
  • Alta: la amenaza tiene muchas probabilidades de existir

Cómo definir la política de seguridad

La política de seguridad es el documento de referencia que define los objetivos de seguridad y las medidas que deben implementarse para tener la certeza de alcanzar estos objetivos.

La política de seguridad define un número de reglas, procedimientos y prácticas óptimas que aseguren un nivel de seguridad que esté a la altura de las necesidades de la organización.

Este documento se debe presentar como un proyecto que incluya a todos, desde los usuarios hasta el rango más alto de la jerarquía, para ser aceptado por todos. Una vez redactada la política de seguridad, se deben enviar a los empleados las cláusulas que los impliquen para que la política de seguridad tenga el mayor impacto posible.

Métodos

Existen muchos métodos para desarrollar una política de seguridad. A continuación, se mostrará una lista no exhaustiva de los métodos principales:


Definition of Needs in Terms of IT Security
Definition of Needs in Terms of IT Security
Définition des besoins en terme de sécurité de l'information
Définition des besoins en terme de sécurité de l'information
Definizione dei bisogni in termini di sicurezza informatica
Definizione dei bisogni in termini di sicurezza informatica
Definição das necessidades de termos de segurança informática
Definição das necessidades de termos de segurança informática
Última actualización: 21 de octubre de 2016 a las 13:31 por Carlos-vialfa.
El documento «Definición de necesidades en términos de seguridad informática» se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo libremente. No olvides citar a CCM (es.ccm.net) como tu fuente de información.