LA SEGURIDAD DEL SISTEMA DE INFORMACION

La seguridad del sistema de informacin es un requisito funcional previo al desarrollo. Incorpora en los SI mecanismos de seguridad con el objetivo de asegurar el desarrollo de cualquier sistema a lo largo de los procesos para su obtencin. La poltica de seguridad se elabora segn la adaptacin a las polticas de seguridad de las organizaciones, si en caso no hubiera es necesario implementarla. La seguridad del SI influir en las decisiones adoptadas en el proceso de PSI. Los procesos donde aparecen actividades de la interfaz de seguridad en un PSI son los siguientes: PSI 1 Inicio del PSI -> PSI-SEG 1 PSI 7 Definicin de la Arquitectura Tecnolgica -> PSI-SEG 2 PSI 8 Definicin del Plan de Accin > PSI-SEG 3 PSI 9 Revisin y Aprobacin -> PSI-SEG 4 El aseguramiento del SI debe proporcionar una lista ordenada de riesgos para su atencin y mitigacin. Es posible ordenar los riesgos segn su importancia, adems de proporcionar una mitigacin especfica o una accin de contingencia asociada al riesgo. Tipos de actividades: Actividades relacionadas con la seguridad intrnseca de SI. Actividades que velan por la seguridad del proceso de desarrollo del SI.

El plan debe contemplar las medidas de seguridad activas o preventivas y reactivas. Las valoraciones de la seguridad deben ser realizadas en funcin de las caractersticas del SI como: complejidad, tamao, incertidumbre, participantes, etc. Al ser finitos los recursos, no pueden asegurarse todos los aspectos del SI, pero debemos concentrarnos en los mas comprometidos o amenazados. Los riesgos identificados se enfocan en las actividades del SI y es la base para organizar las actividades de cada una de las iteraciones. Esta lista debe ser actualizada a medida que el proyecto avanza en su ejecucin. Es decir, al comienzo de cada paso del proceso de SI esta lista debe ser analizada y actualizada para conseguir identificar y prever los posibles eventos que puedan influir negativamente en el xito.

Con el objeto comprender mejor la importancia de cada uno de los riesgos identificados, es necesario explicar los trminos utilizados para su anlisis y el porqu de cada uno de ellos y sus valores asignados. La valoracin del impacto de los riesgos debe tener en cuenta el examinar el posible efecto sobre un objetivo del SI con relacin a: tiempo, costo, alcance o calidad, incluyen los efectos negativos por las amenazas que implican y los efectos positivos por las oportunidades que generan. Para establecer el impacto y la probabilidad de ocurrencia de los riesgos se debe realizar un anlisis cualitativo y cuantitativo: El anlisis cualitativo evala la prioridad de los riesgos identificados, usa la probabilidad de ocurrencia y el impacto sobre los objetivos, si los riesgos efectivamente ocurren, as como otros factores de plazo y tolerancia al riesgo. El anlisis cuantitativo se realiza respecto a los riesgos priorizados en el anlisis cualitativo por el mismo impacto que pueden tener sobre los objetivos. Este anlisis contempla el efecto de esos riesgos y les asigna una calificacin. Tambin se puede realizar un mtodo cuantitativo para tomar decisiones en caso de incertidumbre.

La metodologa explica a detalle como es que se deben analizar los riesgos en cada uno de los siguientes procesos adems de los productos de entrada y salida de cada uno de ellos CONCLUSION A mi parecer uno de los puntos mas importantes a tener en consideracin es como los riesgos pueden impactar en los objetivos de los SI, ese impacto generalmente se traduce en costos, por lo cual si los riesgos no son correctamente analizados y priorizados pueden traer consecuencias indeseables en la ejecucin de los proyectos. Tambin considero que los riesgos deben ser medidos a todo nivel, incluyendo temas de distancia, comunicacin, horarios, participantes, actividades, arquitectura, software, etc. Planificacion de Sistemas de Informacion (PSI) Estudio de Viabilidad del Sistema (EVS) Analisis del Sistema de Informacion (ASI) Diseo del Sistema de Informacion (DSI) Construccion del Sistema de Informacion (CSI) Implantacion y Aceptacion del Sistema (IAS) Mantenimiento del Sistema de Informacion (MSI)