Documentos de Académico
Documentos de Profesional
Documentos de Cultura
COMERCIAL
GRÁFICO DE LOS PROBLEMAS DE
SEGURIDAD
Descripción de los planes de negocios y
activadores a los que responde la dirección
• ¿En qué consiste el problema?
• Falta de coordinación
• No aplicar al tratamiento de los incidentes los conocimientos existentes, para
evitar otros incidentes, pérdidas financieras y daños a la institución.
• ¿Qué objetivos le gustaría alcanzar en relación con el grupo de
clientes atendido?
• Ayudar a resolver problemas e incidentes de seguridad de TI.
• Elevar el nivel de conocimientos sobre la seguridad de las TI e implantar la
cultura de sensibilización acerca de la seguridad.
Descripción de los planes de negocios y
activadores a los que responde la dirección
• ¿Qué pasará si no se hace nada?
• Daños mayores, además de afectar a la reputación de la institución. También
puede haber pérdidas financieras y consecuencias legales.
• ¿Qué pasará si se actúa?
• Aumentará la concienciación acerca de la posibilidad de que aparezcan
problemas de seguridad, lo cual ayudará a resolverlos con mayor eficacia y a
evitar futuras pérdidas.
Descripción de los planes de negocios y
activadores a los que responde la dirección
• ¿Cuánto costará?
• Los salarios de los miembros del equipo y la organización, el equipamiento,
las herramientas y las licencias del software.
• ¿Qué se conseguirá?
• Los procedimientos y las prácticas de seguridad ganarán transparencia, con lo
que se protegerá un patrimonio empresarial esencial.
EJEMPLOS DE PROCEDIMIENTOS
OPERATIVOS Y TÉCNICOS
(MÉTODOS DE TRABAJO)
Evaluación de la base de instalación del
grupo de clientes atendido
El primer paso es ponerse al corriente de los sistemas de TI que tiene
instalados el grupo atendido, por ejemplo:
Versión del Grupo
Categoría Aplicación Software Versión SO
SO Atendido
Ordenador
Oficina Excel x-x-x Microsoft XP-prof A
personal
Ordenador Internet
Navegador x-x- Microsoft XP-prof A
personal Explorer
• Pertinencia
• La anterior visión general del hardware y el software instalado se puede usar para filtrar la
información entrante sobre vulnerabilidad relativa a la pertinencia, a fin de encontrar una
respuesta a dos preguntas: « ¿Utiliza este software el grupo atendido?» y « ¿Es esta información
pertinente para dicho grupo?»
• Clasificación
• Una buena norma básica es «no distribuir información si no está claro qué se supone que es; en
caso de duda, pedir permiso al remitente para hacerlo».
Paso 2: Evaluación de la información y
valoración del riesgo
• Evaluación del riesgo y análisis de las consecuencias
• Daños potenciales
• Acceso no autorizado a los datos;
• Denegación de servicio (DOS);
• Obtención o ampliación de permisos.
• Tras contestar a estas preguntas se puede añadir una clasificación global al aviso, informando de riesgos y daños
potenciales. Se suelen usar términos simples como BAJO, MEDIO y ALTO.
Paso 3: Distribución de la información
• Los avisos de seguridad distribuidos por un CSIRT deberían seguir
siempre la misma estructura, para mejorar la legibilidad y permitir
que el lector encuentre rápidamente la información pertinente.