UNIVERSIDAD MARIANO GALVEZ

Toma de Decisiones
Criticas en seguridad
Informtica
Definiciones

Toma de Decisiones Criticas en seguridad Informtica

INDICE

I.

Toma de decisiones Criticas en Seguridad

Informtica...3

II.

Introduccin.3

III.

Definiciones..3
Toma de decisiones..3
La resiliencia..5
Sistemas De Administracin De Seguridad De La Informacin6
Proceso de Implementacin.....6
Anlisis y manejo de riesgos de la informacin.8

IV.

Conclusin.8

Toma de Decisiones Criticas en seguridad Informtica

I.

Toma de Decisiones Crticas en Seguridad Informtica

II.

Introduccin
La toma de decisiones es un papel muy importante en las organizaciones. Son
diagnsticos delicados que mantienen una atencin a las variables de
planeacin, organizacin, control y direccin asumiendo un cierto riesgo y
anlisis de tiempo.
En la actualidad, la seguridad informtica se basa en medidas de proteccin. La
proteccin depende de la identificacin de vulnerabilidades en los dispositivos o
sistemas y en la aplicacin de las contramedidas adecuadas para neutralizar los
posibles efectos de las vulnerabilidades.

III.

Definiciones
Toma de decisiones
Son muchas las metodologas utilizadas para la gestin de riesgos, pero todas
parten de un punto comn: la identificacin de activos de informacin, es decir
todos aquellos recursos involucrados en la gestin de la informacin, que va
desde datos y hardware hasta documentos escritos y el recurso humano. Sobre
estos activos de informacin es que hace la identificacin de las amenazas o
riesgos y las vulnerabilidades
Una amenaza se puede definir entonces como un evento que puede afectar los
activos de informacin y estn relacionadas con el recurso humano, eventos
naturales o fallas tcnicas. Algunos ejemplos pueden ser ataques informticos
externos, errores u omisiones del personal de la empresa, infecciones
con malware, terremotos, tormentas elctricas o sobrecargas en el fluido
elctrico.
Por otra parte, una vulnerabilidad es una caracterstica de un activo de
informacin y que representa un riesgo para la seguridad de la informacin.
Cuando se materializa una amenaza y hay una vulnerabilidad que pueda ser
aprovechada hay una exposicin a que se presente algn tipo de prdida para la
empresa. Por ejemplo el hecho de tener contraseas dbiles en los sistemas y
que la red de datos no est correctamente protegida puede ser aprovechado
para los ataques informticos externos.

Toma de Decisiones Criticas en seguridad Informtica

Ahora, para que la empresa pueda tomar decisiones sobre cmo actuar ante los
diferentes riesgos es necesario hacer una valoracin para determinar cules son
los ms crticos para la empresa. Esta valoracin suele hacerse en trminos de
la posibilidad de ocurrencia del riesgo y del impacto que tenga la materializacin
del riesgo.
La valoracin del impacto puede medirse en funcin de varios factores: la
prdida econmica si es posible cuantificar la cantidad de dinero que se pierde,
la reputacin de la empresa dependiendo si el riesgo pueda afectar la imagen de
la empresa en el mercado o de acuerdo al nivel de afectacin por la prdida o
dao de la informacin.
En este punto se deberan tener identificados y valorados los principales riesgos
que pueden afectar los activos de informacin de la empresa. Pero, es
suficiente con saber qu puede pasar? La respuesta es no. Una vez identificadas
las amenazas, lo ms importante del anlisis de riesgos es la identificacin de
controles ya sea para mitigar la posibilidad de ocurrencia de la amenaza o para
mitigar su impacto.
Las medidas de control que puede asumir una empresa van a estar relacionadas
con el tipo de amenaza y el nivel de exposicin que represente para la
informacin corporativa.
Una empresa puede afrontar un riesgo de cuatro formas diferentes:

Aceptarlo
Transferirlo
Mitigarlo o
Evitarlo.

Si un riesgo no es lo suficientemente crtico para la empresa la medida de control

puede ser Aceptarlo, es decir, ser consciente de que el riesgo existe y hacer un
monitoreo sobre l.
Si el riesgo representa una amenaza importante para la seguridad de la
informacin se puede tomar la decisin de Transferir o Mitigar el riesgo.
La primera opcin est relacionada con tomar algn tipo de seguro que reduzca
el monto de una eventual prdida, y la segunda tiene que ver con la
implementacin de medidas preventivas o correctivas para reducir la posibilidad
de ocurrencia o el impacto del riesgo.

Toma de Decisiones Criticas en seguridad Informtica

Finalmente, si el nivel de riesgo es demasiado alto para que la empresa lo asuma,
puede optar por Evitar el riesgo, eliminando los activos de informacin o la
actividad asociada.
La gestin de riesgos debe garantizarle a la empresa la tranquilidad de tener
identificados sus riesgos y los controles que le van a permitir actuar ante una
eventual materializacin o simplemente evitar que se presenten. Esta gestin
debe mantener el equilibrio entre el costo que tiene una actividad de control,
la importancia del activo de informacin para los procesos de la empresa y el
nivel de criticidad del riesgo.
La resiliencia es la capacidad de anticipar, evitar, resistir, minimizar y recuperarse
de los efectos de la adversidad, ya sea artificial o natural, en cualquier
circunstancia.
Un sistema resiliente debe permitir:

Las operaciones de deteccin y monitorizacin.

El conocimiento de la situacin digital.

La interoperabilidad.

La recuperacin de datos e informacin.

La coordinacin de las acciones de recuperacin.

Es necesario, por tanto, obtener informacin de la situacin de nuestros sistemas

digitales para poder anticipar las acciones a tomar en nuestra infraestructura.
Desplegar los medios adecuados de supervisin y control puede evitar
desagradables sorpresas.
Un mtodo para anticipar y evitar la sorpresa y las acciones negativas en cascada
en las infraestructuras crticas se basa en el conocimiento del flujo de trfico
(flow) y en el volumen del mismo, con las siguientes acciones:

Identificacin de los sectores industriales de inters para la

seguridad informtica.

Identificacin de cada empresa y organizacin de inters en

cada sector de la industria.

Identificacin de cada sistema informtico de inters en cada

empresa y organizacin.

Toma de Decisiones Criticas en seguridad Informtica

Identificacin de puerto de E/S en todos los equipos de inters.

Registro permanente del flujo y volumen de trfico en cada

puerto.

Sistemas De Administracin De Seguridad De La Informacin

Mantener los procesos principales de las organizaciones y actividades
operativas enfatizan la importancia de implementar sistemas de
administracin de seguridad de la informacin que proporcionen esquemas
esenciales para soportar procesos crticos en las instituciones.
Los Sistemas de administracin de seguridad de la informacin estn
conformados por elementos como: estndares, polticas, procedimientos,
anlisis de riesgos y auditoras de sistemas. La implementacin de ISMS
(Information Security Management System), es una decisin estratgica de la
organizacin y por tanto debe ser apoyada desde los altos mandos hasta el
personal de mandos medios, el diseo, desarrollo e implementacin del ISMS
debe cumplir con los objetivos organizacionales y cumplir con las expectativas
de las reas involucradas.
Proceso de Implementacin
El estndar conocido como Plan-Do-Check-Act, es utilizado en la industria
como modelo para implementar el ISMS.
El ISMS toma como entrada la definicin de requerimientos de seguridad de la
informacin y las expectativas de las reas involucradas. Aqu es importante
determinar qu activo es el que se quiere proteger, resulta inviable intentar
asegurar todos los recursos informticos de la organizacin. En una empresa
no existen ms de tres procesos principales. Tambin deben cumplirse los
objetivos de la seguridad:

Confidencialidad
Integridad
Disponibilidad
Auditabilidad

La seguridad de la informacin se mide en base a los activos que se necesitan

proteger y debe responder a las siguientes preguntas:
Qu se quiere proteger?
Por qu?
De qu o quin?
Cundo?

Toma de Decisiones Criticas en seguridad Informtica

El ISMS genera un sistema de administracin de la seguridad compuesto por
polticas, procedimientos, estndares, procesos. Estn conformados por los
siguientes elementos:

En el Plan se realiza una definicin de los objetivos, procedimientos, polticas y

procesos claves en una organizacin.

Do, consiste en la implementacin y ejecucin de las polticas, controles,

procedimientos de seguridad.
El Check, significa evaluar la ejecucin de los estndares, polticas, reglas, y
reportando los resultados obtenidos.
La Act, es la elaboracin de un programa de acciones preventivas/correctivas
basadas en los resultados obtenidos en el monitoreo.
Este modelo debe ser dirigido por el grupo de seguridad informtica, sistemas,
tecnologas de informacin y comunicacin y, el apoyo de todas las reas de la
organizacin.

Toma de Decisiones Criticas en seguridad Informtica

Anlisis y manejo de riesgos de la informacin

Los riesgos en una organizacin estn directamente relacionados con las actividades
y activos de la organizacin. El manejo de los riesgos es identificar las amenazas e
implementar planes que reduzca los efectos negativos en caso de que se presenten.
La siguiente figura muestra los riesgos a los que estn expuestos los activos de una
empresa:

IV.

Conclusin

La seguridad de la informacin se mide en base a los activos que se

necesitan proteger La toma de decisiones critica es fundamental para la
seguridad informtica. En este sentido, somos todos tomadores de
decisiones. Sin embargo, tomar una 'buena' decisin empieza con un
proceso de razonamiento, constante y focalizado, que incluye muchas
disciplinas como se detallaron en este documento.
Son muchas las metodologas utilizadas para la gestin de riesgos, pero
todas parten de un punto comn: la identificacin de activos de informacin,
es decir todos aquellos recursos involucrados en la gestin de la
informacin, que va desde datos y hardware hasta documentos escritos y el
recurso humano.