Metodologías para análisis de riesgos

 Análisis de Riesgos 

¿Cómo gestionamos el riesgo? 

¿Cómo lo analizamos? 

¿Cómo sabemos a lo que nos enfrentamos?

ISO/IEC 27001:2013 
Information technology — Security techniques — Information security management systems — Requirements 
– ISO/IEC 27005:2011 
– ISO/IEC 31000

ISO/IEC 27001:2013 
– 4.1 Comprender la organización y su contexto 
      • Contexto internal y externo de la organización de acuerdo al punto 5.3 de la ISO-31000
– 6.1 Análisis y gestión de riesgos 
      • Alineado con los principios y directrices de la ISO 31000

ISO/IEC 27005:2011 
Information technology -- Security techniques -- Information security risk management 

Fases del análisis de riesgos 
– Establecimiento del contexto 
– Evaluación del riesgo 
– Tratamiento del riesgo 
– Aceptación del riesgo 
– Comunicación del riesgo 
– Monitorización y revisión del riesgo

UNE-ISO 31000 
Gestión del riesgo – Principios y directrices

MAGERIT Versión 3

Activo 
– Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos. [UNE 71504:2008] 

UNE 71504:2008 Metodología de análisis y gestión de riesgos para los sistemas de información

MAGERIT Versión 3


Metodología 

MAGERIT Versión 3 


 

Enfoque top-down 

– Consiste en inferir los activos de información relacionados con los procesos a partir de la descripción de los procesos.

Enfoque bottom-up 

– Consiste en identificar las principales aplicaciones, ficheros y bases de datos utilizados por el proceso y conceptualizar la información que almacenan y procesan. 

– En este enfoque no se debe olvidar la importancia de la información no automatizada que pueda ser relevante para el análisis y que en función del alcance definido, puede formar parte del alcance del análisis de riesgos.

Inventario 

  • Tamaño de la organización 
  • Coste económico 
  • Tiempo necesario 
  • Actualización 
  • Coste muy elevado 
  • Los inventarios no suelen estar completamente automatizado

UNE-ISO 28000 

Especificación para los sistemas de gestión de la seguridad para la cadena de suministro


Escenario de riesgos 
Descripción del efecto de un conjunto determinado de amenazas sobre un determinado conjunto de activos, recursos y salvaguardas, teniendo en cuenta determinadas hipótesis definidas. 

Definir escenarios
  • Impacto en el negocio 
Atributo 

– Integridad 

– Confidencialidad 

– Disponibilidad









Comentarios

Publicar un comentario

Entradas populares de este blog

Metodología OCTAVE

Imagen
  Metodología OCTAVE RESUMEN   Este documento presenta la aplicación de la metodología OCTAVE-s para el análisis y gestión del riesgo en la seguridad de la información, adaptada al proceso Inscripciones y Admisiones, en la División de Admisión, Registro y Control Académico (DARCA) de la Universidad del Cauca; siguiendo las directrices de la norma ISO/IEC 27005:2011. Además se incluye la estructura del proceso, y el procedimiento escogido como caso de estudio para aplicar el tratamiento del riesgo. Finalmente, se muestran los resultados obtenidos y las conclusiones de la gestión del riesgo con la metodología adaptada. Palabras Clave. Activo, amenaza, impacto, ISO/IEC 27005, Metodología de las Elipses, Metodología Octave-s, riesgo, seguridad de la información. En la actualidad, las empresas manejan la información referente a sus procesos de negocio de forma física y digital. Dicha información, independiente de su medio de almacenamiento y transmisión, es un recurso vital para e...
Leer más

ingeniería de software, herramientas, métodos y procesos

Ingeniería de software:   El software es una de las tecnologías más importantes a nivel mundial la cual está presente en todas las áreas de conocimiento apoyando sus respectivos procesos. Es difícil en este momento concebir nuestro estilo de vida sin las herramientas de software. En la actualidad utilizamos software incluso hasta de forma inconsciente, las organizaciones por ejemplo tienen sistemas que apoyan sus procesos como software de facturación, de contabilidad, de inventario, o sistemas ERP (sistemas de Planificación de Recursos Empresariales) los cuales integran muchas de estas funcionalidades. Las empresas utilizan herramientas de software para administrar procesos específicos como por ejemplo la administración de sistemas de transporte, procesos médicos, procesos industriales, telecomunicaciones, comercio, procesos educativos, entre otros. Las herramientas de software nos impactan también a nivel personal, modificando incluso conductas, como por ejemplo la interacción ent...
Leer más