5 objetivos básicos de la política de seguridad para la infraestructura de TI

Algunos de los objetivos básicos de la política de seguridad para la infraestructura de TI son los siguientes:

Es esencial formular una política de seguridad para la infraestructura de TI y definir sus objetivos.

Cortesía de la imagen: mclnkd.licdn.com/mpr/mpr/p/7/005/01e/150/0343cbc.jpg

Estos objetivos ayudan a elaborar el plan de seguridad y facilitan la evaluación periódica de un sistema de seguridad. En términos generales, hay cinco objetivos básicos de la política de seguridad.

(a) Prevención:

El primer objetivo de cualquier política de seguridad sería evitar que se produzcan daños en el recurso o sistema de destino.

(b) Detección:

La detección temprana es un objetivo importante de cualquier política de seguridad. De hecho, la detección temprana ayuda a lograr otros objetivos de la política de seguridad.

(c) Mitigación:

Es necesario asegurar que la cantidad de pérdida debida a cada accidente o ataque se mitigue.

(d) Recuperación:

Una vez que el sistema se ha encontrado con un accidente o ataque, la recuperación del desastre es un objetivo importante que debe lograrse para que las operaciones normales se puedan restaurar lo antes posible.

(e) Responsabilidad:

Es necesario establecer la responsabilidad del daño al sistema. Cada política de seguridad debe apuntar a fijar la responsabilidad por la ocurrencia de daños y debe definirse un método de recompensa y castigo para promover el cumplimiento de las medidas de seguridad.

Estos objetivos son interdependientes y representan un continuo. El logro de un objetivo, directa o indirectamente, ayuda en el logro de otros objetivos. De hecho, todos estos objetivos ayudan colectivamente a lograr el objetivo principal de garantizar la seguridad de los sistemas de información. Las interrelaciones entre estos objetivos se representan en la Figura 13.1.

Las herramientas de seguridad y las medidas de control son diferentes para cada objetivo. Estas medidas de control tienen diferentes estructuras de costos y niveles de efectividad. El desarrollo de un plan para la seguridad de la infraestructura de TI requeriría, por lo tanto, un estudio detallado de la vulnerabilidad de (a) varios componentes de la infraestructura de TI y (b) herramientas de control y medidas adecuadas para cada componente. También debería realizarse un análisis de costo-beneficio antes de tomar una decisión final con respecto al plan de seguridad para la infraestructura de TI.