Está en la página 1de 3

LOS OBJETIVOS DE UNA AUDITORIA PRINCIPIOS FUNDACIONALES PARA LA SEGURIDAD GENERAL Recopilacin y adaptacion: Prof. Carlos F.

Reisz -2007La creencia de que las organizaciones contratando una empresa de seguridad fsica o una de Seguridad Informtica, adopcin de muros cortafuegos, antivirus, contratacin de empresa de emergencias medicas y otras medidas contratables a terceros, sern la solucin integral a las perspectivas de ser victima de un ataque en cualquier frente de la organizacin, implica asumir temerariamente que no habr crisis que se quede sin solucin y a eso lo llamamos los consultores la teora del pararrayos, que dice que solo sabremos si sirve, despus que haya cado un rayo. Ninguna de las soluciones que amigablemente adoptemos, estarn avaladas por experiencia y conocimiento, en el escenario de operaciones, sino estn consensuadas por el Auditor o consultor, quien en su trabajo tiene en cuenta los elementos siguientes, que seguramente uno cree conocer pero en realidad difcilmente haya pensado en ello. Definiciones Riesgo. Es la posibilidad de sufrir algn dao o prdida. Activo. Datos, infraestructura, hardware, software, personal y su experiencia, informacin, servicios. Seguridad prospectiva. Determina qu necesita ser protegido y por qu, de qu necesita protegerse, y cmo protegerlo mientras exista. Vulnerabilidad (*) En trminos de desastres, tenemos que la vulnerabilidad es una medida de que tan susceptible es un bien expuesto a ser afectado por un fenmeno perturbador, por ejemplo, una casa construida con madera es ms vulnerable que una construida con concreto a un tornado. La vulnerabilidad es evaluada dependiendo del bien que se esta analizando y el fenmeno que es capaz de daarle. Amenaza (*) Las amenazas son un delito o una falta, consistente en el anuncio de un mal futuro que es posible, impuesto y determinado con la finalidad de causar inquietud o miedo en el amenazado. El mal ha de ser posible, en el sentido de que el destinatario puede tener motivos para creer en su verosimilitud. Que el mal sea impuesto significa que el amenazado no tiene control sobre los hechos que lo desencadenarn, por tanto, su culminacin depende exclusivamente del sujeto activo. El hecho previsto ha de tener una clara repulsa social. Finalmente la determinacin viene dada por la expresin cierta de un hecho. La amenaza tiene la finalidad de causar inquietud en el amenazado producindole un estado o un nimo de miedo.

(*) Wikipedia
Objetivo de la seguridad privada planificada Preservar los activos de una organizacin y mantener su operacin, basado en: Confidencialidad Integridad Disponibilidad

Existencia Autenticidad Privacidad No Repudio Control de Acceso Proteccin de las personas Contramedidas ante crisis diversas Crear sensacin de invulnerabilidad Forzar la desicin de acometer delictivamente, a discontinuar el propsito por la disuasin protectiva. Demostrar conocimiento de las pseudo vulnerabilidades, para desalentar al atacante.

Fuentes para identificar requerimientos de seguridad De la valoracin de riesgos en la organizacin. De requerimientos contractuales, normas reguladoras, y aspectos legales que se deben satisfacer. De un conjunto de principios, objetivos y requerimientos para el procesamiento de la informacin y servicios que la organizacin ha desarrollado. Del estudio de Seguridad Fsica y Electrnica.

Anlisis de Riesgo Proceso mediante el cual se identifican las amenazas y las vulnerabilidades en una organizacin, se valora su impacto y la probabilidad de que ocurran. [ISO/IEC 17799] Es un proceso para asegurar que los controles de seguridad de un sistema se adapten segn la proporcin de sus riesgos.

Objetivo del anlisis de riesgo Tener la capacidad de: Identificar, evaluar y manejar los riesgos de seguridad. Estimar la exposicin de un recurso a una amenaza determinada. Determinar cual combinacin de medidas de seguridad proporcionar un nivel de seguridad razonable a un costo aceptable. Tomar mejores decisiones en seguridad. Enfocar recursos y esfuerzos en la proteccin de los activos.

Proceso del anlisis de riesgo Actividades de la evaluacin de riesgos de seguridad Fases del anlisis de riesgo Fases del anlisis de riesgos de seguridad Activos crticos Requerimientos de seguridad para los activos crticos Amenazas a los activos crticos Prcticas de seguridad actuales Vulnerabilidades actuales de la organizacin Riesgos de los activos crticos Medidas de riesgo Estrategias de proteccin Planes de mitigacin de riesgos

Componentes clave Vulnerabilidades actuales de la tecnologa Identificar vulnerabilidades de Elementos que debe cubrir Declaracin de propsito y alcance Un anlisis de los activos que son de valor Un anlisis de amenazas cuya ocurrencia puede producir prdidas Un anlisis de vulnerabilidades en los controles de seguridad y en los sistemas Un anlisis de los riesgos que mide posibles prdidas para la organizacin Un anlisis de las medidas de seguridad que actuaran como una proteccin

Beneficios Costos de seguridad justificados. Anlisis desde el interior (self-analysis). Permite que la seguridad se convierta en parte de la cultura de la organizacin Apoya la comunicacin y facilita la toma de decisiones Certeza econmica/financiera Permite determinar las necesidades de accin correctivas Incrementa la conciencia de seguridad en todos los niveles Brinda criterios para el diseo y evaluacin de planes de contingencia Mayor productividad del grupo de seguridad

Limitantes Es un proceso analtico con un gran nmero de variables Una sola metodologa no es aplicable a todos los ambientes Inversin de tiempo y recursos dedicados a las actividades Las soluciones al problema de seguridad no son instantneas

Conclusiones La seguridad fsica, general, corporativa e informtica requiere de la participacin de todos los niveles de la organizacin y es una responsabilidad compartida. El anlisis de riesgo es un proceso cclico y continuo que involucra al rea de tecnologas de la informacin, seguridad fsica, proteccin estructural y a la administracin. Se aplica tanto a los activos crticos, proteccin de las personas, de los bienes muebles e inmuebles, como a nivel organizacional hasta alcanzar el nivel de seguridad adecuado. Logra concientizar a la organizacin sobre la importancia de la seguridad establecida. Los resultados del Auditor o Consultor proveen informacin que facilita y justifica la toma de decisiones en relacin a la seguridad fsica, general, corporativa e informtica.
ref.: Manual sobre Auditoria Corporativas de Seguridad, C. F. Reisz -2007- indito, derechos reservados. todos los

También podría gustarte