Seguridade da Información: Principios e Análise de Riscos

Enviado por Alberto y clasificado en Informática y Telecomunicaciones

Escrito el en gallego con un tamaño de 3,93 KB

Principios Fundamentais da Seguridade da Información

Integridade

Este principio garante a autenticidade e a precisión da información sen importar o momento en que esta se solicite, ou dito doutra maneira, unha garantía de que os datos non foron alterados nin destruídos de modo non autorizado.

Confidencialidade

O feito de que os datos ou informacións estean unicamente ao alcance do coñecemento das persoas, entidades ou mecanismos autorizados, nos momentos autorizados e dunha maneira autorizada.

Dispoñibilidade

A información ten que estar dispoñible para todos os usuarios autorizados cando a necesiten.

O programa MAGERIT define a dispoñibilidade como «grao no que un dato está no lugar, momento e forma en que é requirido polo usuario autorizado.»

3. Análise de Riscos

Analizar o nivel de vulnerabilidade de cada un deles ante determinadas ameazas e valorar o impacto que un ataque causaría sobre todo o sistema.

“A cadea sempre se rompe polo elo máis débil.”

A persoa ou o equipo encargado da seguridade deberá analizar con esmero cada un dos elementos. Ás veces o descoido dun elemento considerado débil produce importantes fallos de seguridade. Ao estar interrelacionados todos os elementos, este descoido pode producir erros na cadea con efectos insospeitados sobre a organización.

Elementos de Estudo

Hai que ter en conta os seguintes activos, ameazas, riscos, vulnerabilidades, ataques e impactos.

Activos

Son os recursos que pertencen ao propio sistema de información ou que están relacionados con este.

Podémolos clasificar nos seguintes tipos:

  • Datos: Constitúen o núcleo de toda a organización, ata tal punto que se tende a considerar que o resto dos activos están ao servizo da protección de datos.
  • Software: Constituído polos sistemas operativos e o conxunto de aplicacións instaladas nos equipos dun sistema de información.
  • Hardware: Trátase de equipos (servidores e terminais) que conteñen as aplicacións e permiten o funcionamento, á vez que almacenan os datos do sistema de información.
  • Redes: Desde as redes locais da propia organización ata as metropolitanas ou internet.
  • Soportes: Os lugares onde a información queda rexistrada e almacenada durante longos períodos ou de forma permanente (DVD, CD, tarxetas de memoria, HDDs...).
  • Instalacións: Son os lugares que albergan os sistemas de información e de comunicacións.
  • Persoal: O conxunto de persoas que interactúan co sistema de información: administradores, programadores, usuarios internos e externos...
  • Servizos: Que se ofrecen ao cliente ou ao usuario: produtos, servizos, sitios web, foros, correos electrónicos...

Ameazas

Nos sistemas de información enténdese por ameaza a presenza dun ou máis factores de diversa índole (persoas, máquinas ou sucesos) que, de ter a oportunidade, atacarían ao sistema producindo danos aproveitándose do seu nivel de vulnerabilidade. Clasifícanse en catro grupos:

  • De Interrupción: O obxectivo da ameaza é deshabilitar o acceso á información; por exemplo, destruíndo compoñentes físicos como o HDD, bloqueando o acceso aos datos, programas...
  • De Interceptación: Persoas, programas ou equipos non autorizados poderían acceder a un determinado recurso do sistema e captar a información confidencial da organización, como poden ser os datos, programas...
  • De Modificación: Persoas, programas ou equipos non autorizados non soamente accederían aos programas e aos datos dun sistema de información, senón que ademais os modificarían.
Karma: 0%
Visitas: 0

Entradas relacionadas:

Etiquetas:
ciberseguridade activos dispoñibilidade protección de datos xestión de ameazas vulnerabilidades análise de riscos seguridade da información confidencialidade integridade Galego