ANÁLISIS DE RIESGO VS NTP – ISO / IS 17799
El análisis de riesgos es una consideración sistemática porque se encarga de estimar el impacto potencial de una falla de seguridad en los negocios y sus posibles consecuencias de pérdida de la confidencialidad, integridad o disponibilidad en una organización.
Evalúa
la probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas,
vulnerabilidades y controles implementados. Estableciendo de prioridades y acciones.
El objetivo
de la norma ISO 17799 es proporcionar una base común para desarrollar
normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para
establecer transacciones y relaciones de
confianza entre las empresas.
En el caso del
análisis de riesgo es la Estimación del grado de
exposición de una amenaza sobre uno o más activos causando daños
o perjuicios a la Organización.
El riesgo
indica lo que le podría pasar a los activos si no se protegieran adecuadamente.
La norma ISO 17799:2005 establece once dominios de control que cubren por completo la Gestión de la
Seguridad de la Información:
1.-
Política de seguridad: Dirigir y dar soporte a la gestión de la seguridad de la
información direcciones y recomendaciones.
2.-
Aspectos organizativos de la seguridad: Gestión dentro de la organización
(recursos, activos, tercerización, etc.)
3.- Clasificación y control de activos: Inventario y nivel de protección de los
activos.
4.-
Seguridad ligada al personal: Reducir riegos de errores humanos, robos, fraudes
o mal de los recursos.
5.-
Seguridad física y del entorno: Evitar accesos no autorizados, violación, daños
o perturbaciones a las instalaciones y a los activos.
6.-
Gestión de comunicaciones y operaciones: Asegurar la operación correcta y
segura de los recursos de tratamiento de información.
7.-
Control de accesos: evitar accesos no autorizados a los sistemas de la
información (de usuarios, computadores, redes, etc.
8.-
Desarrollo y mantenimiento de sistema: Asegurar que al seguridad está
incorporada dentro de los sistemas de información. Evitar pérdidas,
modificaciones, mal uso.
9.- Gestión de incidentes: Gestionar los
incidentes que afectan la seguridad de la información.
10.-Gestión de continuidad de negocio: Reaccionar a la interrupción de las actividades de
negocio y proteger sus procesos críticos frentes a fallas, ataques o desastres.
En
el caso del análisis de riesgo, este comprende los siguientes procesos:
En
conclusión:
ISO 17799 es
una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de
la información siendo su mucho más amplia su área de acción.
En el caso
del análisis de riesgo es un proceso realizado para implementar la seguridad de
la información.
es un proceso realizado para detectar los riesgos a los cuales están sometidos los activos de una organización.
es un proceso realizado para detectar los riesgos a los cuales están sometidos los activos de una organización.
Implantar ISO
17799 puede requerir de un trabajo
de consultoría que adapte los requerimientos de la norma a las
necesidades de cada organización.
La relación
que existe entre la amenaza y el valor del riesgo, es la condición principal a
tomar en cuenta en el momento de priorizar acciones de seguridad para la
corrección de los activos que se desean proteger y deben ser siempre
considerados cuando se realiza un análisis de riesgos.
El análisis
de los riesgos es un paso importante para implementar la seguridad de la
información.
- Utilizar la Norma NTP ISO 17799 permite:
- Aumento de la seguridad efectiva de los sistemas de información.
- Correcta planificación y gestión de la seguridad.
- Garantías de continuidad del negocio.
- Mejora continua a través del proceso de auditoría interna.
- Incremento de los niveles de confianza de los clientes y socios de negocios.
- Aumento del valor comercial y mejora de la imagen de la organización.
No hay comentarios:
Publicar un comentario