Hoy hemos comenzado con el Tema 5, donde vamos a poder observar la importancia de los Sistemas de seguridad para su correcto funcionamiento.
Primero de todo, hemos de decir, que la seguridad no es absoluta, es decir, no podemos tener la certeza de que nada malo nos puede suceder debido a que estamos protegidos por estos sistemas de seguridad, por lo tanto, asumimos lo que conocemos como "riesgo global".
La suma del conocimiento y la gestión, da lugar a minimizar los riegos lo máximo posible.
Lo que sacamos en claro por tanto, es que los límites de los Sistemas de seguridad vienen dados por el gasto que te suponga el tener activo ese sistema de seguridad, y hablando sobre dinero, tendremos que añadir un concepto conocido como:
- Impacto de un riesgo: es el coste que nos supone arreglar un activo si se nos daña.
Tras esta introducción, hemos pasado a lo que conocemos como: "SGSI", que hace referencia a un Sistema de gestión de seguridad de la información, que como el nombre sugiere, es el conjunto de políticas de Administración de la información. Está compuesto por varias fases, pero a destacar, diremos las siguientes:
- Fase 1: crear una Política de Seguridad del documento, donde la empresa se encarga de organizar toda la seguridad.
- Fase 2: hace referencia al control de los gastos de Seguridad de una organización.
- Fase 3: es la fase más importante de todas, donde se debe de hacer un inventario de todos los activos de la empresa, y se hace llamar, análisis del riesgo, que trata de estudiar los posibles riesgos a los que están expuestos los activos y el impacto de éste en cada activo. También se estudian las vulnerabilidades de estas medidas de seguridad con el paso del tiempo.
- Fase 4: valorar si ese riesgo es "alto, medio o bajo", y decidir las medidas de Seguridad contenidas en "ISO 27000", para convatirlos.
Tras ello, hemos pasado a hablar de lo que conocemos como "Google Search", al que también se le puede llamar Google Hacking, porque se puede encontrar la información muy fácilmente. Hemos buscado en esta plataforma en base a ejemplos, determinados casos que se nos podrían aparecer a lo largo de la vida. Uno de estos ejemplos ha seguido esta dirección URL:
→ política de seguridad site : urjc. es
O también se puede dar el caso de que en el momento en el que estemos desarrollando nuestro TFG, necesitemos guardarlo en Documento Word, por lo que tendremos que buscar:
➝ políticas de seguridad filetype:doc
O bien, el momento en el que se nos haya olvidado una URL, podremos buscarla de tal manera:
➝invrl:document
*Existen lo que llamamos planes de seguridad: donde se establecen medidas para la seguridad, y están basados en procedimientos de seguridad y guías de operación.
A continuación, hemos pasado a hablar de lo que ya dijimos de manera introductoria días pasados, el ISO 27000, conocido coloquialmente como "familia de normas", nació en 2007 y en el 2013 sufrió una reforma. Hay varios formatos de ISO 27000, entre los que encontramos:
Todas las medidas de seguridad se clasifican en Dominios, después de que estas medidas están organizadas en grupos.
Después, hemos pasado a hablar de lo que conocemos como ➡️ Proceso de mejora continua: descrito en ISO 27005, y también se le puede llamar espiral de mejora continua.
Debemos añadir, que hay empresas que no utilizan la ISO 27000, para su gestión de seguridad, si no que usan técnicas como: "coby" o "Esquema Nacional de Seguridad" (ENS), debido a que ISO 27000, suele estar enfocado a empresas de carácter público.
A su vez, el Esquema Nacional de Seguridad, es la política de seguridad de la información de la Administración Pública en España. Tiene 75 medidas de seguridad, expresa los principios básicos de seguridad, y los requisitos mínimos para proteger la información, categorizando los Sistemas en "alto, medio o bajo".
¡Y esto ha sido todo en cuanto a la parte teórica de la asignatura mis queridos lectores! !Espero que os haya resultado útil y que la próxima entrada que publique en un futuro lo sea aún mas!
No hay comentarios:
Publicar un comentario