1. Elementos de Información
Los Elementos de información son todos los
componentes que contienen, mantienen o guardan información. Dependiendo de la
literatura, también son llamados Activos o Recursos.
Son estos los Activos de una institución que
tenemos que proteger, para evitar su perdida, modificación o el uso inadecuado
de su contenido, para impedir daños para nuestra institución y las personas
presentes en la información.
Generalmente se distingue y divide tres
grupos
·
Datos
e Información: son los datos e informaciones en si mismo
·
Sistemas
e Infraestructura: son los componentes donde se mantienen o
guardan los datos e informaciones
·
Personal: son todos
los individuos que manejan o tienen acceso a los datos e informaciones y son
los activos más difíciles de proteger, porque son móviles, pueden cambiar su
afiliación y son impredecibles.
1.1. Amenazas
Una Amenaza
es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede
producir un daño (material o inmaterial) sobre los elementos de un sistema, en
el caso de la Seguridad Informática, los Elementos de Información. Debido a que la Seguridad Informática tiene como propósitos de
garantizar la confidencialidad, disponibilidad y autenticidad de los datos
e informaciones, las amenazas y los consecuentes daños que puede causar un
evento exitoso, también hay que ver en relación con la confidencialidad,
integridad, disponibilidad y autenticidad de los datos e informaciones.
Desde el punto de vista de la entidad que
maneja los datos, existen amenazas de origen externo como por ejemplo las
agresiones técnicas, naturales o humanos, sino también amenazas de origen
interno, como la negligencia del propio personal o las condiciones técnicas,
procesos operativos internos (Nota: existen conceptos que defienden la opinión
que amenazas siempre tienen carácter externo!)
Generalmente se distingue y divide tres
grupos
·
Criminalidad: son todas
las acciones, causado por la intervención humana, que violan la ley y que están
penadas por esta. Con criminalidad política se entiende todas las acciones
dirigido desde el gobierno hacia la sociedad civil.
·
Sucesos
de origen físico: son todos los eventos naturales y técnicos,
sino también eventos indirectamente causados por la intervención humana.
·
Negligencia
y decisiones institucionales: son todas las acciones, decisiones u
omisiones por parte de las personas que tienen poder e influencia sobre el
sistema. Al mismo tiempo son las amenazas menos predecibles porque están
directamente relacionado con el comportamiento humano.
Existen amenazas que difícilmente se dejan
eliminar (virus de computadora) y por eso es la tarea de la gestión de riesgo
de preverlas, implementar medidas de protección para evitar o minimizar los
daños en caso de que se realice una amenaza.
Para mostrar
algunas de las amenazas más preocupantes, consultamos dos estadísticas, el
primer grafo sale de la “Encuesta sobre Seguridad y Crimen de Computación –
2008” del Instituto de Seguridad de Computación (CSI por sus siglas en inglés)
que base en 433 respuestas de diferentes entidades privadas y estatales en los EE.UU
Como se observa, existen algunas similitudes
respecto a las amenazas más preocupantes
·
Ataques de virus (>50%)
·
Robo de celulares, portátiles y otros equipos
(>40%)
Pero también existen otras amenazas que,
aunque no aparezcan en ambas encuestas, son muy alarmantes y que se debe tomar
en consideración
·
Falta de respaldo de datos
·
Perdida de información por rotación, salida
de personal
·
Mal manejo de equipos y programas
·
Acceso non-autorizado
1.2 Vulnerabilidades
La
Vulnerabilidad es la capacidad, las condiciones y características del sistema
mismo (incluyendo la entidad que lo maneja), que lo hace susceptible a
amenazas, con el resultado de sufrir algún daño. En otras palabras, es la
capacitad y posibilidad de un sistema de responder o reaccionar a una amenaza o
de recuperarse de un daño.
Las vulnerabilidades están en directa
interrelación con las amenazas porque si no existe una amenaza, tampoco existe
la vulnerabilidad o no tiene importancia, porque no se puede ocasionar un daño.
Dependiendo
del contexto de la institución, se puede agrupar las vulnerabilidades en grupos
característicos:
Ambiental, Física, Económica, Social, Educativo, Institucional y Política.
1.3 Análisis de Riesgo
El primer
paso en la gestión de riesgo es el
análisis de riesgo que tiene como propósito determinar los componentes de un
sistema que requieren protección, sus vulnerabilidades que los debilitan y las
amenazas que lo ponen en peligro, con el fin de valorar su grado de riesgo.
Clasificación y Flujo de Información
La clasificación de datos tiene el propósito
de garantizar la protección de datos (personales) y significa definir,
dependiendo del tipo o grupo de personas internas y externas, los diferentes
niveles de autorización de acceso a los datos e informaciones. Considerando el
contexto de nuestra misión institucional, tenemos que definir los niveles de
clasificación como por ejemplo: confidencial, privado, sensitivo y público.
Cada nivel define por lo menos el tipo de persona que tiene derecho de acceder
a los datos, el grado y mecanismo de autenticación.
Una vez clasificada la información, tenemos
que verificar los diferentes flujos existentes de información internos y
externos, para saber quiénes tienen acceso a qué información y datos.
Clasificar los datos y analizar el flujo de
la información a nivel interno y externo es importante, porque ambas cosas
influyen directamente en el resultado del análisis de riesgo y las consecuentes
medidas de protección. Porque solo si sabemos quiénes tienen acceso a qué datos
y su respectiva clasificación, podemos determinar el riesgo de los datos, al
sufrir un daño causado por un acceso no autorizado.
0 comentarios:
Publicar un comentario