Читать книгу Seguridad en equipos informáticos. IFCT0109 - José Francisco Giménez Albacete - Страница 19
6. Resumen
ОглавлениеLos equipos informáticos son cada vez más relevantes para la actividad de las empresas, tanto por el valor de la información que manejan, como por las consecuencias de las acciones (u omisión de las mismas), en las que participan.
Existen amenazas de todo tipo, siempre presentes, que comprometen la actividad de los equipos, gracias a las vulnerabilidades que los equipos presentan a estas amenazas. No pudiendo eliminarlas por completo, se puede afirmar que no existe la inseguridad “cero”. Sin embargo, si se puede reducir el daño probable que una amenaza tendría en un equipo, es decir, el riesgo que el equipo entraña para la empresa.
El riesgo es mayor cuanto mayor sea el daño o impacto que una amenaza causaría en un equipo, y cuanto mayor sea la probabilidad de ocurrencia de la amenaza. Es posible reducir este riesgo, o bien reduciendo el daño que causaría una amenaza, o reduciendo la probabilidad de que esta se aplique sobre una vulnerabilidad del sistema, es decir, reduciendo las debilidades del equipo.
El daño, habitualmente, se evalúa en todas las dimensiones o propiedades de la información, que en el ámbito de la seguridad de la información son tres: la confidencialidad, la integridad, y la disponibilidad. Es decir, la información es segura si se pueda acceder a ella cuando se necesita (disponibilidad), solo por quien lo necesita (confidencialidad), y si es válida, porque solo la ha modificado quien puede hacerlo (integridad).
Para gestionar la seguridad, se emplea un modelo de gestión de la seguridad de la información basada en el riesgo, y que consta de dos fases. En una primera fase, el “análisis de riesgos”, se analiza el riesgo de las amenazas sobre los equipos informáticos. En una segunda fase, la “gestión de riesgos”, se evalúa si ese riesgo se puede asumir o no, de acuerdo con unas normas internas, o leyes que afecten a la empresa. En caso de que no se pueda asumir, hay que reducirlo, introduciendo para ello las salvaguardas o medidas adecuadas. Es muy frecuente emplear un criterio de coste/beneficio, o de análisis de viabilidad en términos económicos, para determinar la adecuación de una salvaguarda. Sencillamente, bastaría comparar el coste de la salvaguarda con el coste del riesgo, para presentar la decisión de viabilidad a la Dirección.
Establecida esta metodología general, se debe profundizar en conocer los riesgos más habituales de un equipo informático, y por lo tanto las posibles salvaguardas. Los riesgos son de naturaleza ambiental o del entorno, derivados del acceso físico, o derivados del acceso lógico a los equipos; por ejemplo, y respectivamente, un incendio, una desconexión accidental de un cable de alimentación, o un virus informático.
Por último, todo lo anterior se engloba en el Sistema de Gestión de la Seguridad de la Información, que es la forma de organizar los recursos para lograr una mejora continua en el objetivo de “asegurar la continuidad del negocio, minimizando riesgos y maximizando el ROI en seguridad”.
Las herramientas fundamentales de un SGSI serán: una política de seguridad, y una metodología para medir el riesgo.
Ejercicios de repaso y autoevaluación
1. De las siguientes frases, indique cuál es verdadera y cuál es falsa.
1 Una amenaza es la probabilidad de que haya un fallo que dañe los sistemas.VerdaderoFalso
2 Una amenaza es un posible hecho que dañaría los sistemas.VerdaderoFalso
3 Se puede eliminar una amenaza reduciendo su vulnerabilidad.VerdaderoFalso
2. Determine la fórmula correcta:
1 Riesgo = amenaza + vulnerabilidad.
2 Riesgo = probabilidad x vulnerabilidad.
3 Riesgo = impacto x vulnerabilidad.
4 Riesgo = probabilidad x daño.
3. Complete las siguientes definiciones:
1 _____________ es que la información esté disponible siempre que se necesite.
2 ______________es que la información solo esté accesible para quien esté autorizado a ello.
3 _____________ es que la información sea válida, exacta, y completa.
4 __________ o __________ es que el comportamiento de un sistema sea predecible, según su diseño y construcción.
4. Determine la combinación correcta de propiedades:
1 Fiabilidad = confidencialidad + precisión + exactitud.
2 Seguridad = confianza + integridad + disponibilidad.
3 Seguridad = confidencialidad + integridad + disponibilidad.
5. Complete la siguiente oración:
Un modelo de seguridad orientado a la gestión de riesgos, persigue organizar la gestión de la seguridad en base a dos factores: un método para __________________ y unas __________________.
6. Complete las siguientes definiciones:
1 ________________________ permite la elección de unas salvaguardas u otras, según unas directrices empresariales.
2 _______________________ permite ordenar los riesgos según su importancia, calculada cuantitativa o cualitativamente.
3 ______________ es el daño probable de una amenaza.
7. Determine la opción que elegiría:
1 Una salvaguarda que aporte mínimo retorno de la inversión.
2 Una contramedida que reduce un riesgo pero que tiene un precio alto.
3 Cuando es muy bajo, se puede asumir el riesgo sin hacer nada, y sin ser necesario informar a la Dirección.
8. Indique si es o no necesario verificar:
1 La temperatura máxima a la que pueden funcionar los ordenadores.
2 El nivel de tensión eléctrica que llega habitualmente al CPD.
3 El grosor de los paramentos del CPD y su construcción.
4 La existencia de pasos bajo el falso techo, entre el CPD y los recintos anexos.
9. Indique una salvaguarda preventiva ante amenaza de inundaciones, y una reactiva.
10. Indique 5 salvaguardas ante el riesgo de incendios en el CPD.
11. Indique 3 salvaguardas ante la difusión de software dañino.
12. ¿Qué contraseña será más compleja, una que tenga 5 dígitos, o una que tenga 3 caracteres usando mayúsculas o minúsculas?
13. Dibuje el diagrama de mejora continua de Deming.
14. ¿Cuáles de las siguientes salvaguardas no protegen a la información frente a la amenaza específica de los trabajadores?
1 Clausulas de responsabilidades legales en los contratos.
2 Un sistema de identificación y autenticación de usuarios.
3 Investigar los antecedentes.
15. Un SGSI...
1 ... permite implantar medidas de seguridad concretas para una amenaza.
2 ... corrige errores de implantación en las medidas de seguridad.
3 ... puede considerar los datos de carácter ético y cultural de la empresa.
