1.

4 Consecuencias de la falta de seguridad

El papel d la seguridad en las organizaciones ya fue contemplado por los tericos
de organizacin y direccin de empresas a principios del siglo XX.
As Henry Fayol (1919) consideraba la seguridad como una funcin empresarial, al
mismo nivel que otras funciones: produccin, comercial, financiera, administrativa
Antes: Salvaguardar propiedades y personas contra desastres naturales y daos
ocasionados en conflictos sociales y laborales.
Actualidad: el negocio y desarrollo de las actividades dependen de los datos e
informacin registrados en sus sistemas informticos
Inversin en seguridad informtica sera comparable a la contratacin de un seguro
contra robos, contra incendios o de responsabilidad civil frente a terceros.
Torres Gemelas, Nueva York (11 septiembre 2011): muchas empresas perdieron sus
oficinas centrales y, sin embargo, pudieron continuar con la actividad de su negocio
a los pocos das, ya que sus datos estaban protegidos y sus sistemas informticos
contaban con los adecuados planes de contingencia y de respuesta a emergencias.
Rascacielos Windsor, Madrid (12 de febrero de 2005): Edificio de 28 plantas
dedicado a oficinas, en el que la consultora y auditora Deloitte & Touche ocupaba 20
plantas y el bufete de abogados Garrigues ocupaba 2 plantas, fue un
acontecimiento que contribuy a despertar un mayor inters por la necesidad de
contemplar las medidas de seguridad y los planes de contingencia para garantizar
la continuidad dl negocio.
La implantacin de determinadas medidas de seguridad puede representar un
importante esfuerzo econmico para una organizacin. El objetivo perseguido es
lograr un ataque contra los recursos o la informacin protegida tenga un coste
superior para el atacante que el valor en el mercado de estos bienes.
El coste de las medidas adoptadas por la organizacin ha de ser menor que el valor
de los activos a proteger. Es necesario realizar un anlisis de coste/beneficio de
cada medida de seguridad.
Medidas de seguridad limitadas

1.5 Principio de "Defensa en Profundidad"

1.6 Gestin de la seguridad de la informacin
1.6.1. Implantacin de un Sistema de Gestin de Seguridad de la Informacin

ANLISIS Y GESTIN DE RIESGOS EN UN SISTEMA INFORMTICO

Un proceso de gestin de riesgos comprende una etapa de evaluacin previa de los
riesgos del sistema informtico, que se debe realizar con rigor y
objetividad para que cumpla su funcin con garantas. Para ello, el equipo responsa
ble de la evaluacin debe contar con un nivel adecuado de formacin y experiencia
previa, as como disponer de una serie de recursos y medios para poder realizar su
trabajo, contando en la medida de lo posible con el apoyo y compromiso de la Alta
Direccin. En el proceso propiamente dicho de gestin de riesgos se trata de definir
un plan para la implantacin de ciertas salvaguardas o contramedidas en el sistema
informtico, que permitan disminuir la probabilidad de que se materialice una
amenaza, o bien reducir la vulnerabilidad del sistema o el posible impacto en la
organizacin, as como permitir la recuperacin del sistema o la transferencia
del problema a un tercero (mediante la contratacin de un seguro, por ejemplo).

RECURSOS DEL SISTEMA

Los recursos son los activos a proteger del sistema informtico de la organizacin.
Seguidamente se presenta una relacin de los principales recursos que se deberan
tener en consideracin a la hora de analizar y gestionar los riesgos:
Recursos hardware: servidores y estaciones de trabajo,
ordenadores porttiles, impresoras, escneres y otros perifricos.
Recursos software: sistemas operativos, herramientas informticas, software
de gestin, herramientas de programacin, aplicaciones desarrolladas a
medida, etc.
Elementos de comunicaciones: dispositivos de conectividad (hubs, switches,
routers), armarios con paneles de conexin, cableado, puntos de acceso a la
red, lneas de comunicacin con el exterior, etc.
Informacin que se almacena, procesa y distribuye a travs del sistema
(activo de naturaleza intangible).

 Locales y oficinas donde se ubican los recursos fsicos y desde los que
acceden al sistema los usuarios finales.
Personas que utilizan y se benefician directa o indirectamente del
funcionamiento del sistema.
Imagen y reputacin de la organizacin.
Cada recurso o activo de la organizacin se podra caracterizar por un cdigo, su
descripcin, su coste o precio de adquisicin, su coste de reposicin, su nivel de
criticidad o importancia para el mantenimiento de las actividades de la organizacin,
el nivel requerido de integridad y de confidencialidad, etc.

AMENAZAS
Se considera una amenaza a cualquier evento accidental o intencionado que pueda
ocasionar algn dao en el sistema
informtico, provocando prdidas materiales, financieras o de otro tipo a la
organizacin. Se puede establecer la siguiente clasificacin a la hora de estudiar las
amenazas a la seguridad:
Amenazas naturales: inundacin, incendio, tormenta, fallo elctrico, explosin, etc.
Amenazas de agentes externos: virus informticos, ataques de una organizacin
criminal, sabotajes terroristas, disturbios y conflictos sociales, intrusos en la
red, robos, estafas, etc.
Amenazas de agentes internos: empleados descuidados con una formacin
inadecuada o descontentos, errores en la utilizacin de las herramientas y recursos

del sistema, etc. Tambin podramos definir una clasificacin alternativa, teniendo
en cuenta el grado de intencionalidad de la amenaza:
Accidentes: averas del hardware y fallos del software, incendio, inundacin, etc.
Errores: errores de utilizacin, de explotacin, de ejecucin de determinados
procedimientos, etc.
Actuaciones malintencionadas: robos, fraudes, sabotajes, intentos de intrusin, etc.
La organizacin puede emplear una escala cuantitativa o cualitativa para definir
distintos niveles para la ocurrencia de una amenaza (es decir, en funcin de su
frecuencia): Muy baja, Baja, Media, Alta y Muy Alta.