Читать книгу Seguridad en equipos informáticos. IFCT0510 - José Francisco Giménez Albacete - Страница 13
4. Salvaguardas y tecnologías de seguridad más habituales
ОглавлениеLas salvaguardas, o contramedidas, persiguen detectar, prevenir, impedir, reducir, y controlar una amenaza y el daño que pueda generar. Son elementos de defensa, para que las amenazas no causen tanto daño. Como en el caso de las amenazas, las salvaguardas se pueden clasificar según distintas categorías. Por ejemplo, existirán:
1 Salvaguardas preventivas o proactivas, que persiguen anticiparse a la ocurrencia del incidente.
2 Salvaguardas reactivas, que persiguen reducir el daño una vez ocurre el incidente.
3 Salvaguarda de “no hacer nada”, o de aceptar el riesgo existente para los equipos (cuando se cumplan los criterios de aceptación de riesgo de la empresa, y solo cuando esta decisión sea autorizada por la Dirección).
Por ejemplo, son salvaguardas preventivas las relacionadas con los controles de acceso de los usuarios a los equipos, como el uso de contraseñas. Controlando el acceso de los usuarios exclusivamente a la información que necesitan conocer para el desempeño de su trabajo, se previenen daños a la confidencialidad e integridad de la información.
Definición
Salvaguarda
Guarda que se pone para la custodia de una cosa. Custodia, amparo, o garantía.
Por ejemplo, son salvaguardas de carácter reactivo las copias de seguridad. Las copias no evitan que se produzca un incidente que derive en pérdida de información, pero sí reducen el daño limitando la pérdida a la información modificada desde la última copia de seguridad verificada.
Como aclaración de salvaguarda de “no hacer nada”, se tomará de ejemplo una empresa, cuya política de seguridad establece que se aprobarán los riesgos, cuando sean inferiores al 10 % del valor de los activos. Si el análisis de riesgos establece que este es del 5 % del valor de los equipos, puede decidirse asumirlo, y no interponer salvaguardas para reducirlo; pero siempre debe ponerse en conocimiento de la Dirección, que es el órgano responsable en última instancia del riesgo que se asume.
En los siguientes apartados, se introducirán algunas áreas de seguridad específicas, con sus tecnologías habituales y salvaguardas.
