Politicas De Acceso
Enviado por Paty02Mira • 7 de Junio de 2015 • 5.428 Palabras (22 Páginas) • 158 Visitas
Mecanismos de seguridad establecida para evitar el acceso a la información a personas no autorizadas
Las cualidades que conforman la seguridad de los activos de información de una organización o empresa son la confidencialidad, la integridad y la disponibilidad.
La confidencialidad tiene relación con la protección de información frente a posibles accesos no autorizados, con independencia del lugar en que reside la información o la forma en que se almacena.
La información sensible o valiosa que organización custodia o maneja, necesita ser protegida mediante estrictas medidas de control. La verificación y la autorización son dos mecanismos que se emplean para asegurar la confidencialidad de la información.
La integridad se refiere a la protección de información, datos, sistemas y otros activos informáticos contra cambios o alteraciones en su estructura o contenido ya sean intencionados, no autorizados o casuales.
También es importante proteger los procesos o programas que se emplean para manipular los datos. La información se debe preservar y poner a disposición de sus propietarios y de los usuarios autorizados de una forma precisa, completa y oportuna.
La disponibilidad es la garantía de que los usuarios autorizados puedan acceder a la información y recursos cuando los necesiten. La falta de disponibilidad se manifiesta principalmente de dos formas:
• La denegación, o repudio, del servicio debido a la falta de garantías de la prestación del mismo, tanto por parte del prestador del servicio como del solicitante o tomador (controles de identificación fehaciente, falta de prestaciones de los equipos, congestión de líneas, etc.).
• La pérdida de servicios de los recursos de información por causa de catástrofes naturales o por fallos de equipos, averías, acción de virus, etc.
Controles de seguridad
Un entorno operativo seguro exige la garantía de que sólo puedan acceder a una determinada información aquellos que están autorizados para ello, que la información se procese correctamente y que está disponible cuando se necesita.
Para aplicar controles adecuados, es preciso comprender primero quién o qué es lo que amenaza dicho entorno, así como conocer los riesgos asociados a dichas amenazas si llegan a materializarse.
Amenazas
La información se ve sometida a distintas amenazas que pueden clasificarse en intencionadas, no intencionadas y naturales.
Las amenazas intencionadas las ejercen usuarios no autorizados que acceden de forma indebida a los datos o información sensible. Los usuarios no autorizados pueden ser externos o pertenecientes a la propia organización y se pueden clasificar como curiosos o maliciosos. Los curiosos normalmente ojean un poco y no siempre entran con unas pretensiones concretas, ni saben lo que van a encontrar. Los maliciosos entran a los sistemas para apropiarse de datos o información por intereses económicos, o bien con ánimo de dañar o destruir recursos. El acceso no autorizado de usuarios ya sean curiosos o maliciosos significa siempre una violación de la confidencialidad y con frecuencia acarrea violaciones de la integridad y de la disponibilidad.
Las amenazas no intencionadas provienen típicamente de empleados con poca formación o negligentes que no han seguido los pasos para proteger sus contraseñas, asegurar adecuadamente sus ordenadores o actualizar con la frecuencia debida el programa antivirus. Las amenazas no intencionadas también implican a veces a los programadores o personal de proceso de datos cuando no se siguen las normas y procedimientos de seguridad establecidos, cuando existen. Este entorno operativo es especialmente sensible ya que sencillos errores en un programa pueden afectar a la integridad de la aplicación global y de cualquier otra aplicación con la que comparta información en común.
Las amenazas naturales incluyen fallos de equipos y calamidades tales como incendios, inundaciones y terremotos que pueden causar la pérdida de equipos y datos. Las amenazas naturales suelen afectar a la disponibilidad de los recursos y de la información.
Riesgos
Los riesgos asociados a la pérdida de la confidencialidad, integridad o disponibilidad son de diverso tipo y casi siempre implican daños económicos incluyendo responsabilidad contractual, falsos datos financieros, mayores costes, pérdidas de activos, pérdida de negocios, descrédito y pérdida de imagen pública.
Salvaguardas
Estudios realizados en los últimos años demuestran que un alto porcentaje de organizaciones han experimentado algún tipo de pérdida de información o soporte físico, siendo las causas más frecuentes los errores no intencionados y los virus. Hoy en día, debiera ser impensable tener PC's o servidores sin programas de protección contra virus. El aumento en el número de delitos informáticos está haciendo replantearse a los profesionales de las tecnologías de la información las medidas de seguridad y mecanismos de control. Los delitos informáticos se han convertido en un mayor riesgo debido por una parte a que hay un mayor número de personas que conocen la informática y tienen acceso a recursos informáticos, y por otra al alto nivel de interconexiones entre redes tanto internas como externas. Pero sigue ocurriendo que la mayoría de los incidentes se originan interiormente a la organización, tanto los no intencionados como los maliciosos.
Las salvaguardas no son uniformes para todos los sistemas. El nivel del riesgo debiera determinar el nivel de control adecuado. Cada riesgo se puede tratar mediante la aplicación de uno o varias salvaguardas de seguridad. Las salvaguardas se pueden clasificar en tres principales categorías:
• administrativas
• físicas
• técnicas
Riesgos de la organización
RIESGOS INFORMATICOS
Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en el área informática; y por medio de procedimientos de control que puedan evaluar el desempeño del entorno informático.
Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro del entorno informático, es la inadecuada administración de riesgos informáticos, esta información sirve de apoyo para una adecuada gestión de la administración de riesgos.
4.1 ¿QUE SON LOS RIESGOS?
El riesgo es una condición del mundo real, en el cual hay una exposición
...