Síguenos:
Se está hablando de:
HOME/SERVICIOS
Nuestros servicios cubren todos los puntos que contempla el Modelo de Seguridad.
Un modelo de seguridad debe contemplar: Uno o varios objetivos de protección (target of protection), taxonomía de amenazas del TOP, evaluación de los riesgos, los mecanismos de protección y los ámbitos de protección.
En primer lugar debemos contemplar qué o quién es objeto de protección, es decir sobre qué o sobre quién se establece el ámbito de protección.
Una vez seleccionado el objetivo de protección (TOP) es necesario definir o identificar la taxonomía de amenazas al que está expuesto el TOP y evaluar el nivel de riesgo intrínseco en base a la estimación de probabilidades e impactos de cada amenaza o grupos de amenazas. Con el fin de mitigar los riesgos y posicionarlos en el nivel de riesgos asumibles o asumidos debemos definir los mecanismos, controles o salvaguardas que necesariamente deben ser aplicados, identificando los ámbitos de protección de cada uno de ellos
Mecanismos y ámbitos de protección identifican un Sistema de Seguridad acorde a los objetivos de seguridad identificados.
S2 Grupo define la siguiente matriz global de mecanismos y ámbitos cubriendo todos los objetivos de la seguridad:
Mecanismos de seguridad
Los mecanismos, controles o salvaguardas son en definitiva medidas implantadas con el objetivo de mitigar los riesgos intrínsecos en los distintos ámbitos de protección de forma que los riesgos residuales persistentes sean o puedan ser asumidos por la Dirección
Los mecanismos de forma aislada reducen extraordinariamente su eficacia, pudiendo llegar a ser incluso contraproducentes
Clasificación de mecanismos de protección:
1. Prevención (Incluye disuasión). Intentan por distintos medios evitar el incidente de seguridad. La información es un tipo de prevención y tambián lo es la disuasión. Mecanismos de prevención tenemos en todos los ámbitos de la seguridad. Por ejemplo: en el ámbito físico un sistema de control de acceso, en el ámbito lógico un cortafuegos corporativo, en el ámbito organizativo la formación de usuarios y en el ámbito legal la firma de un acuerdo de confidencialidad con un proveedor.
2. Detección. Los modelos de seguridad deben estar preparados para que fallen las distintas líneas de defensa. Los mecanismos de detección son de gran importancia en la estrategia de seguridad de cualquier organización. El registro de acceso a un área de acceso restringido lo podemos considerar como una medida de detección necesaria para iniciar una medida de respuesta en caso de incidente.
3. Respuesta y recuperación. La creación de un equipo de respuesta ante incidentes es una medida organizativa de respuesta
Ámbitos de Protección
Es el ámbito en el que vamos a trabajar dentro de la organización. Podemos tratarlo como una agrupación contextual de los riesgos a los que está sometida la organización. En este sentido hablamos de riesgos legales, riesgos organizativos, riesgos físicos, riesgos lógicos:
- Ámbito legal. Incluye todo lo que tiene que ver directa o indirectamente con cumplimiento (Compliance)
- Ámbito organizativo. Creación de equipos de trabajo, procedimientos, instrucciones tácnicas de trabajo, etc…
- Ámbito lógico
- Ámbito físico
Identifican las grandes familias de amenazas y por tanto riesgos. Hablamos de riesgos legales, organizativos, lógicos y físicos. Podríamos añadir en esta clasificación riesgos reputacionales por daños de imagen o marca.