Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Planificar
Actuar Hacer
Verificar
(3) ¿Qué se entiende por gestión de riesgos y cuáles son los beneficios que
acarrea? ¿Cómo se puede clasificar el riesgo?
Se entiende por gestión de riesgos a la evaluación de los mismos, para lo cual, se
debe estimar las pérdidas que la empresa tendría en caso de que ocurra un
evento que afecte los activos de la información, según dicha evaluación, la
empresa decidirá si asume el riesgo o toma las medidas correctivas. Los riesgos
se pueden clasificar en: Estratégico, Financiero, de Cumplimiento, Operativo y
tecnológico.
(9) ¿Qué son las políticas de seguridad y por qué son importantes? Explique la
diferencia entre políticas, normas y procedimentos de seguridad, citando
ejemplos.
Las políticas de seguridad son las instrucciones establecidas por los gerentes, en
cuanto a lo que se está o no permitido hacer en el área de seguridad de la
información. Son de gran importancia ya que definen las medidas a tomar para
proteger la seguridad del sistema.
La diferencia entre políticas, normas y procedimientos de seguridad, está en el
hecho de que las políticas explican el por qué se deben proteger los activos de
información, mientras que las normas explican los qué se debe hacer para
proteger dichos activos y los procedimientos explican el cómo se van a proteger
los activos.
Segunda parte
(2) ¿Qué es el Orange Book, cuáles son los niveles que especifica y cuáles son
sus limitaciones?
Es un estándar de seguridad, orientado a la seguridad de los productos y equipos,
donde se aplican ciertos criterios para la evaluación de un producto o equipo y se
definen varios niveles de seguridad para proteger de un ataque a los activos.
Presenta varios niveles (D; C1, C2; B1, B2, B3; A1) que van desde el de menor al
de mayor seguridad.
Dicho estándar presenta limitaciones en cuanto al excesivo costo y duración, a la
excesiva orientación a S.O y en el enfásis en confidencialidad y no el resto.