Políticas de Seguridad Informática

Analizar riesgos

Primera fase de la metología

Es mejor prevenir o aminorar los ataques que reparar el daño acusado

Estar preparados contra todos los ataques

Es necesario conocer las amenazas que ponen en riesgo el sistema

Tipo de amenazas

Entre ellas se incluyen

Agresores malintensionados

Las amenazas no intensionadas

Los desastres naturales

El personal de seguridad necesita implementar estrategias proactivas o reactivas

Tipo de método de ataque

Se necesita un método, una herramienta o técnica para explotar

los distintos puntos vulnerables del sistema

Las directivas de seguridad

Los controles

Se personaliza para cada tipo de método utilizado en cada tipo de amenzas

Los profesionales de seguridad deben estar al día es:

Ataques de denegación de servicios

Ataques de invasión

Ingeniería Social

Virus

Adivinación de contraseñas, entre otros.

Estrategia Proactiva

Es un conjunto de pasos predefinidos que debe seguirse para evitar ataques

Algunos pasos son:

Observar como podría afectar el sistema

Los puntos vulnerables

Ayuda a implementar las directivas de seguridad que controlan los ataques

Los tres pasos de estrategias proactiva son:

Determinar el daño

Establecer los puntos vulnerables y las debilidades que explotará el ataque

Reducir los puntos vulnerables y las debilidades

Elaborar planes de contingencia

Es un plan alternativo en caso de:

Algún ataque penetre el sistema

Dañe los datos

detenga las operaciones comerciales habituales y reste productividad

Mantener la disponibilidad, integridad y confidencialidad de los datos

Debe tener un plan para cada tipo de ataque y amenaza

Reducir los puntos vulnerables y debilidades que puede explotar un posible ataque

Determinar la evaluación anterior

Esta es la compensación de la estrategia proactiva

No implementar controles demasiado estrictos

Debe haber un cuidado equilibrado entre los controles de seguridad y el acceso a la información

Los usuarios deben tener la mayor libertad de acceso a la información

Determinar los puntos vulnerables o las debilidades que pueden explorar los ataques

Modificar las directivas y los controles de seguridad

Determinación del tipo de ataque, amenazas y métodos

Realizar pruebas real

Determinar los puntos vulnerables en el área física, de datos y red.

Dterminar el daño posible que puede causar un ataque

Los daños posibles pueden oscilar entre

Pequeños fallos del equipo

La pérdida catastrófica de los datos

El daño causado dependerá del tipo de ataque

Clsificar los daños

D