domingo, 19 de julio de 2015

ANÁLISIS DE RIESGO VS NTP – ISO / IS 17799


ANÁLISIS DE RIESGO VS NTP – ISO / IS 17799

El análisis de riesgos  es una consideración sistemática porque se encarga de estimar el impacto potencial de una falla de seguridad en los negocios y sus posibles  consecuencias de pérdida de la confidencialidad, integridad o disponibilidad en una organización.
Evalúa la probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas, vulnerabilidades y controles implementados. Estableciendo de prioridades y acciones.



El  objetivo  de la norma ISO 17799 es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de  gestión eficaz de la seguridad y para establecer transacciones y  relaciones de confianza entre las empresas.

En el caso del análisis de riesgo es la Estimación del grado de exposición de una amenaza sobre uno o más activos causando daños o perjuicios a la Organización.
El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente.


La norma ISO 17799:2005  establece once dominios de control  que cubren por completo la Gestión de la Seguridad de la  Información:

1.- Política de seguridad: Dirigir y dar soporte a la gestión de la seguridad de la información direcciones y recomendaciones.

2.- Aspectos organizativos de la seguridad: Gestión dentro de la organización (recursos, activos, tercerización, etc.)

3.- Clasificación y control de activos: Inventario y nivel de protección de los activos.

4.- Seguridad ligada al personal: Reducir riegos de errores humanos, robos, fraudes o mal de los recursos.

5.- Seguridad física y del entorno: Evitar accesos no autorizados, violación, daños o perturbaciones a las instalaciones y a los activos.

6.- Gestión de comunicaciones y operaciones: Asegurar la operación correcta y segura de los recursos de tratamiento de información.

7.- Control de accesos: evitar accesos no autorizados a los sistemas de la información (de usuarios, computadores, redes, etc.

8.- Desarrollo y mantenimiento de sistema: Asegurar que al seguridad está incorporada dentro de los sistemas de información. Evitar pérdidas, modificaciones, mal uso.

9.- Gestión de incidentes: Gestionar los incidentes que afectan la seguridad de la información.

10.-Gestión de continuidad de negocio: Reaccionar a la interrupción de las actividades de negocio y proteger sus procesos críticos frentes a fallas, ataques o desastres.

  
En el caso del análisis de riesgo, este comprende los siguientes procesos:


En conclusión:

ISO 17799 es una norma internacional que ofrece recomendaciones  para realizar la gestión de la seguridad de la información siendo su mucho más amplia su área de acción.
En el caso del análisis de riesgo es un proceso realizado para implementar la seguridad de la información. 
es un proceso realizado para detectar los riesgos a los cuales están sometidos los activos de una organización.

Implantar ISO 17799 puede requerir de un  trabajo de  consultoría  que adapte los  requerimientos de la norma a las necesidades  de cada organización.
La relación que existe entre la amenaza y el valor del riesgo, es la condición principal a tomar en cuenta en el momento de priorizar acciones de seguridad para la corrección de los activos que se desean proteger y deben ser siempre considerados cuando se realiza un análisis de riesgos.

El análisis de los riesgos es un paso importante para implementar la seguridad de la información.
  • Utilizar  la Norma  NTP ISO 17799 permite:
  • Aumento de la seguridad efectiva de los sistemas de información.
  • Correcta  planificación  y gestión de la  seguridad.
  • Garantías de continuidad del negocio.
  • Mejora continua a través del proceso de auditoría interna.
  • Incremento de los niveles de  confianza de los clientes y socios de negocios.
  •  Aumento del  valor comercial  y mejora  de la imagen de la organización.

No hay comentarios:

Publicar un comentario