Beruflich Dokumente
Kultur Dokumente
Actividades
Introducción
Contexto
Desarrollo
Alcance
1. Seguridad de la información
Información específica de redes y sistemas de cómputo (configuraciones,
información de usuarios, accesos, permisos, contraseñas, detección de
vulnerabilidades) que puede usarse para realizar actividades relacionadas con
delitos informáticos.
2. Privacidad
Información privada y/o confidencial (datos personales, datos laborales como
información de proyectos, clientes, datos fiscales, bancarios, etc.) que pueden
permitir la realización de actividades perjudiciales tanto para la empresa como
para su personal.
3. Propiedad intelectual
Información clasificada relacionada con productos y servicios tanto de inventiva en
el caso de nuevos o de proyectos en desarrollo, como de aquellos que se encuentren
ya en el mercado. Esta información puede estar expuesta a su revelación y mal uso
por terceros.
Todos estos riesgos derivan en un riesgo legal, en el cual temas como el de la propiedad
intelectual y la privacidad son muy claros.
Los riesgos están asociados en gran parte, a delitos informáticos relacionados con la
exposición de la información de los equipos de cómputo de la empresa, con personal de
estas compañías, estos son descritos a continuación como son conocidos legalmente.
Identificación de riesgos
1. Seguridad de la información
1.1. Robo
1.2. Fraude
1.3. Espionaje
1.4. Suplantación o falsificación de identidad
1.5. Daño a propiedad privada (destrucción de información por ataque a TIC)
2. Privacidad
2.1. Divulgación de información privada y/o confidencial
2.2. Extorsión
2.3. Secuestro
2.4. Problemas legales (incumplimiento con cliente de convenios de secrecía o
confidencialidad de la información)
3. Propiedad Intelectual
3.1. Plagio
3.2. Piratería
3.3. Problemas legales (incumplimiento con cliente de convenios de secrecía o
confidencialidad de la información )
Planificación
1. QUÉ
Que es lo que se debe proteger, en nuestro caso la información que se encuentra
en los Activos de equipo de cómputo.
2. DÓNDE
Localización o ubicación de estos activos.
3. CÓMO
Métodos, políticas, controles y medidas para el aseguramiento de estos activos.
4. CUÁNDO
Casos específicos, como en este, en el cual equipo de cómputo es expuesto a
terceros.
QUE
Computadoras personales, portátiles, servidores e impresoras
Información guardada en los discos duros:
Archivos de usuario Información de sistemas
o Archivos personales o Configuraciones de
o Archivos laborales programas, sistemas
o Correo electrónico operativos y red
o Archivos de programas o Acceso a recursos de red
o Aplicaciones o Perfiles
o Utilitarios o Cuentas
o Sistemas o Permisos
DONDE
Equipo de cómputo de las diferentes áreas y departamentos de la empresa, con
prioridad a aquellos con actividades clave o críticas.
COMO
Métodos, políticas, controles y medidas para el aseguramiento de estos activos. Estos
serán definidos en los contratos de servicio con la empresa, especificando
responsabilidades en ambas partes con los fundamentos legales aplicables para
prevenir los riesgos identificados. En estas se definirán como por ejemplo, perfiles del
personal de soporte técnico, inventario de equipos e información, control de revisiones
a equipos, código de ética, etc.
Estos deberán cumplirse, teniendo controles que se estarán revisando periódicamente a
través de auditorías que permitan un control del servicio por parte de la empresa al
proveedor. Además de estas auditorías por parte de la empresa, el proveedor deberá
realizar auditorías internas, las cuales tendrá que reportar y ser verificadas por la
empresa contratante.
El objetivo de estas, es garantizar el servicio como la seguridad de la información.
CUANDO
Intervención del personal de la empresa de outsourcing:
1- Mantenimiento preventivo
2- Mantenimiento correctivo
3- Reparación
4- Instalación de equipos
Objetivos
Evaluación de Riesgos
Ya que tenemos identificados nuestros riesgos, hay que proceder a evaluarlos bajo
parámetros de impacto y probabilidad para determinar el riesgo inherente de estos así
como su umbral para medición.
Análisis de riesgos
1. Seguridad de la información
ST 1.1 Robo 5 3 8 ALTO
1.2 Fraude 5 3 8 ALTO
1.3 Espionaje 5 3 8 ALTO
1.4 Suplantación o 5 3 8 ALTO
falsificación de identidad
1.5 Daño a propiedad privada 4 1 5 MEDIO
(destrucción de
información por ataque a
TIC)
2. Privacidad
2.1 Divulgación de 4 2 6 ALTO
información privada y/o
confidencial
2.2 Extorsión 4 1 7 MEDIO
2.3 Secuestro 4 1 7 MEDIO
2.4 Problemas legales 4 1 5 MEDIO
(incumplimiento con
cliente de convenios de
secrecía o
confidencialidad de la
información)
3. Propiedad Intelectual
3.1 Plagio 5 2 7 ALTO
3.2 Piratería 4 1 5 MEDIO
3.3 Problemas legales 4 1 5 MEDIO
(incumplimiento con
cliente de convenios de
secrecía o
confidencialidad de la
información )
Métricas de evaluación
Estas métricas pues ser definidas de acuerdo a la siguiente tabla, se preponen ejemplos
de indicadores:
Es necesario alcanzar en este sistema de riesgos, que los procesos sean encaminados a
una etapa de madurez. Esto ayudará a brindar una mejor confianza a los clientes.
Monitoreo.
Conclusiones
Referencias
M. Reyes González Ramírez José Luis Gascó Gascó y Juan Llopis Taverner. (2015).
Razones y riesgos del outsourcing de sistemas de información en las grandes empresas
españolas. Revista Europea de Dirección, 24, 175-189.