MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM3.4.2 Control: Las metodología de análisis de riesgos debería<br />
ser:<br />
a) docum<strong>en</strong>tada<br />
b) aprobada por la dirección<br />
c) consist<strong>en</strong>te <strong>en</strong> toda la organización<br />
d) automatizado (por ejemplo, utilizando herrami<strong>en</strong>tas de<br />
software especializado)<br />
e) revisarse periódicam<strong>en</strong>te para garantizar que cumpl<strong>en</strong><br />
las necesidades del negocio<br />
f) aplicable a sistemas de difer<strong>en</strong>tes tamaños y tipos<br />
g) compr<strong>en</strong>sible para los repres<strong>en</strong>tantes de las unidades<br />
negocio.<br />
SM3.4.3 Control: La metodología de análisis de riesgos de<br />
información debe exigir que todos los análisis de riesgo<br />
t<strong>en</strong>gan un alcance claram<strong>en</strong>te definido.<br />
SM3.4.4 Control: La metodología de análisis de riesgos de<br />
información debe determinar el riesgo evaluando:<br />
a) el impacto pot<strong>en</strong>cial para el negocio asociadas con el<br />
sistema, la red, o las instalaciones de computación<br />
b) las am<strong>en</strong>azas int<strong>en</strong>cionales a la confid<strong>en</strong>cialidad,<br />
integridad y disponibilidad de la información y los<br />
sistemas (por ejemplo, llevar a cabo<br />
ataques de d<strong>en</strong>egación de servicio, el malware, la<br />
instalación de software no autorizado, mal uso de los<br />
sistemas para cometer un fraude)<br />
c) las am<strong>en</strong>azas accid<strong>en</strong>tales a la confid<strong>en</strong>cialidad,<br />
integridad y disponibilidad de la información y los<br />
sistemas (por ejemplo, la interrupción del suministro de<br />
<strong>en</strong>ergía, mal funcionami<strong>en</strong>to del sistema o del software)<br />
d) las vulnerabilidades ocasionadas por defici<strong>en</strong>cias de<br />
control<br />
e) las vulnerabilidades debidas a situaciones que<br />
aum<strong>en</strong>tan la probabilidad de ocurr<strong>en</strong>cia de un grave<br />
incid<strong>en</strong>te de seguridad de la información<br />
(por ejemplo, el uso de Internet, permitir el acceso a<br />
terceros o la ubicación de un servidor <strong>en</strong> una zona<br />
prop<strong>en</strong>sa a terremotos o inundaciones)<br />
SM3.4.5 Control: La metodología de análisis de riesgos debería<br />
t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta:<br />
a) los requisitos de cumplimi<strong>en</strong>to (por ejemplo, con la<br />
legislación, la reglam<strong>en</strong>tación, las cláusulas<br />
contractuales, las normas de la industria y<br />
políticas internas)<br />
b) los objetivos de la organización<br />
c) los requisitos de clasificación de la información<br />
d) el análisis de riesgos previo de la aplicación, la red o<br />
la instalación de computo que se está evaluando<br />
e) las características del ambi<strong>en</strong>te operativo de la<br />
aplicación, la red o la instalación de computo que se está<br />
evaluando<br />
Página 143 de 207