Sunday, February 19, 2006

Elementos del Análisis de Riesgos (III)


(Haz clic en la imagen para ver la animación)

Los elementos vistos hasta ahora el nivel de los controles (salvaguardas) implantados en la empresa para la gestión de la seguridad:

  • Salvaguardas: Se define como salvaguarda todo control (política, procedimiento, norma, proceso o mecanismo) que contribuye a reducir las vulnerabilidades de los activos, reducir la probabilidad de que las amenazas puedan explotar vulnerabilidades o reducir el impacto producido en el negocio por la materialización de amenazas.

Las salvaguardas pueden clasificarse como:

  • Proactivas o preventivas: cuando contribuyen a prevenir que se materialicen los riesgos. Protegen a los activos antes de que estos sufran ataques o agresiones. Ejemplo: los programas de formación para empleados, la definición y difusión de la política de seguridad, la segregación de funciones (al objeto de reducir el riesgo de que una persona este en condiciones tanto de cometer o ocultar errores o fraudes en el transcurso normal de su uso de los sistemas de información).
  • Detectivas: cuando contribuyen a identificar la amenaza en el momento de materializarse y antes de producir un impacto en la organización. Ejemplos típicos de controles o salvaguardas detectivas son el uso de cortafuegos, el registro de logs, los sistemas de detección de intrusos (IDS), etc.
  • Curativas o correctivas: cuando contribuyen a eliminar o reducir el impacto negativo de la materialización de una amenaza. También llamadas curativas. “Curan” a los activos después de que estos hayan sufrido ataques o agresiones. Como ejemplos podemos citar las copias de respaldo (back-ups) o los planes de contingencia y continuidad de negocio.

0 Comments:

Post a Comment

<< Home