jueves, 24 de marzo de 2016

ESTRATEGIA

parte2
La estrategia planteada para realizar un analisis es como se muestra a continuación:

1. Recopilación de información
  • Localizar la documentación escrita.
  • Realizar entrevistas a las partes implicadas.
  • Realizar una inspección general del sistema.

2. Análisis y Brainstorming

  • Identificación de los activos críticos: Asegurar una inversión correcta en tiempo y recursos es el objetivo último de nuestro modelado. Por lo que resulta vital determinar cuales son los activos que no pueden ser comprometidos sin acarrear consecuencias negativas para el negocio.
  • Utilizando anotaciones, dibujos y un listado de componentes, el grupo de trabajo describe el sistema y se crea una lista de los activos, identificando los más críticos. Conviene prestar especial cuidado en no perder demasiado tiempo tratando de identificar activos intangibles, ya que suelen ser difíciles de describir.

3. Creación de un borrador del modelado

  • Descomponer el sistema.
  • Identificación de interdependencias con otros sistemas.
  • Identificación de posibles puntos de ataque y amenazas.
  • Clasificación y priorización de las amenazas.
  • Definición de las contramedidas.
4. Revisión y actualización


  • Corrección y mejora el modelado a medida que el sistema evoluciona y se toman decisiones sobre la tecnología utilizada.
  • Revisión de las amenazas, los riesgos y las contramedidas antes de su implementación.
  • Ajuste del modelado en función de los resultados obtenidos tras una revisión inicial de la seguridad, previa a la puesta en explotación.

5. Implementación de las medidas correctivas

  • En función de la magnitud del riesgo y el coste asociado a su mitigación, se implementan las diferentes contramedidas. Conseguiremos de este modo, no sólo obtener un marco de referencia que nos permitirá focalizar mejor la inversión en seguridad, sino que al mismo tiempo lograremos mitigar de manera más efectiva las posibles amenazas. No nos olvidemos tampoco que el hecho de implicar a los diferentes actores (desarrolladores, gerentes, administradores de sistemas, testers …. etc ) en cualquier proceso que ataña al término seguridad ya es de por sí todo un logro, muy positivo, y aún será mayor si esta planificación se realiza desde las primeras etapas del desarrollo.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)