Una vez que sabemos que tenemos que defender, Activos de Información Plan de Seguridad (Parte 1).
Hay que Evaluar los riesgos,es decir configurar un balance entre las amenazas y las defensas,no es lo mismo la base de datos de un pequeño comerciante,que la de la Nasa,la seguridad debe ser por un lado mas barata de lo que se protege,si mi pagina web vale 600 Euros no me gastare 3000 en defenderla,y la seguridad debería ser suficiente para que no saliera rentable atacarla,si por atacar mi negocio alguien ganara 500 Euros,pero le costara al atacante 3000 seguro que no la ataca.
Partiendo de estas premisas,no siempre aplicables,hay que evaluar el riesgo para cada uno de los activos,
Este debe incluir todo,amenazas físicas,desatres,ataques informáticos,robos ese valoración se debe basar en la probabilidad de que ocurra,una vez que tenemos el riesgo,hay que detallar como podemos reducirlo,eliminarlo o aceptarlo.
Ejemplo. Un riesgo:Ataque a mi Web .....puedo mitigarlo con un Firewall.Así reduciría el riesgo.
Los riesgos que no se puedan reducir,deben ser aceptados (asumidos) o derivados ,por ejemplo asegurando el activo.
Aplicamos las medidas y estimamos cuanto se ha reducido el riesgo,ahora sabremos cuanto vale ese activo para nosotros y a que cantidad de riesgo estamos expuestos.
En el próximo articulo aprenderemos que medidas tomar y como documentarlas.Plan de Seguridad 3
Seguridad para todos!
Excelente Articulo
ResponderEliminar