ElAnalisisRiesgosBaseSistemaGestionSeguridadInformacion
Páginas: 8 (1995 palabras)
Publicado: 29 de mayo de 2013
ANALISIS Y GESTION DE RIESGOS
BASE FUNDAMENTAL DEL SGSI
Caso: METODOLOGIA MAGERIT
Armando Carvajal
Gerente Consultoría – Globaltek Security
armando.carvajal@globalteksecurity.com
Msc
M en seguridad informática de la Universidad Oberta d C l
id d i f
ái d l U i
id d Ob
de Catalunya ‐ E ñ
EspañaEspecialista en construcción de software para redes Uniandes, Colombia
Ing. Sistemas – Universidad Incca de Colombia
Antecedentes
Por que medir el riesgo?
"La medición es el primer paso para el control y la mejora. Si algo no se
puede medir, no se puede entender. Si no se entiende, no se puede
controlar.
controlar Si no se puede controlar no se puede mejorar “
controlar,
mejorar.
H.James Harrington
Toda ti id d
T d actividad para quelogre los objetivos de
g
j
manera eficiente debe ser
p
planeada y debe tener
unos beneficios claros
UNA URBANIZACIÓN
UN CENTRO VACACIONAL
UN CRUCE DE AUTOPISTAS …
IMPROVISANDO TAMBIEN SE CRECE …..
PERO LOS RESULTADOS NO SON LOS
MEJORES
Y LOS COSTOS SE ELEVAN EN FORMA
EXPONENCIAL
EL RIESGO OPERACIONAL
Es la posibilidad de incurrir en pérdidas por deficiencias,fallas
o inadecuaciones, en el recurso humano, los procesos, la
Tecnología, la infraestructura o por la ocurrencia de
g ,
p
acontecimientos externos
“Superfinanciera de Colombia”
ACTORES DE LA SEGURIDAD
ACTORES DE LA SEGURIDAD
Infraestructura
Administración
Factor Humano
Circulares Superfinanciera
p
La Circular Externa 041 de 2007, aprobó la implementación del
Sistema deAdministración de Riesgos Operativos…
QUE ES ANÁLISIS DE RIESGOS?
• Es l consideración sistemática del daño
la
ó
á
l
probable que puede causar en el negocio
un fallo en la seguridad de la información
información,
con las consecuencias potenciales de
p
pérdida de confidencialidad, integridad y
,
g
disponibilidad de la información
CUANTO INVERTIR EN SEGURIDAD DE LA INFORMACION?
•La respuesta esta directamente relacionada
con EL VALOR DEL ACTIVO A PROTEGER
•El valor de un activo depende de varios
factores:
•No solo de su costo de adquisición
•La información contenida en los activos
•Los procesos controlados
•El impacto en la organización cuando falle
Cuando debo invertir?
.
PROCESO DE EVALUACION
DEL RIESGO
Amenazas
Aprovechan
VulnerabilidadesExponen
Aumentan
Aumentan
Protegen de
Controles
Disminuyen
y
Riesgos
Activos
Marcan
Imponen
Requerimientos
de seguridad
Juan Carlos Reyes, Seltika, 2007
Impactan si se
materializan
Tienen
Aumenta
Valor de los
Activos
Riesgo (1 de 2)
• Es la posibilidad de que se
p
produzca un impacto sobre algún
p
g
activo (Incurrir en perdidas)
Riesgo (2de 2)
• El control del riesgo como resultado
del análisis de riesgos, es un proceso
complejo que parte de la
determinación de los activos y las
amenazas
PROCESO DE EVALUACION
DEL RIESGO
Amenazas
Aprovechan
Vulnerabilidades
Exponen
Aumentan
Aumentan
Protegen de
Controles
Disminuyen
y
Riesgos
Activos
Marcan
Imponen
Requerimientos
de seguridad
JuanCarlos Reyes, Seltika, 2007
Impactan si se
materializan
Tienen
Aumenta
Valor de los
Activos
Amenazas (1 de 4)
• Las amenazas son los eventos que
pueden desencadenar un incidente
en la organización, produciendo
daños materiales o pérdidas
inmateriales en sus activos
Amenazas (2 de 4)
• La consecuencia de la amenaza, si se
materializa, es un incidente que
modifica el estadode seguridad de
los activos amenazados
• Es decir, hace pasar el activo de un
ado
a a
o o o do o o
estado inicial anterior conocido a otro
posterior, que puede ser no deseable
Amenazas (3 de 4)
(
)
• Los activos están expuestos a
muchas clases de amenazas
• Las cuales pueden explotar sus
vulnerabilidades
Amenazas (4 de 4)
• Los controles de seguridad
que se...
Leer documento completo
Regístrate para leer el documento completo.