Gestion De Riesgos
Páginas: 12 (2942 palabras)
Publicado: 3 de junio de 2012
METODOLOGIAS DE GESTION DE RIESGOS
AIDA MILENA ROJAS SEPULVEDA
Cód. 906547
CARLOS HERNAN GÓMEZ
Auditoria de Sistemas II
ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS
UNIVERSIDAD NACIONAL DE COLOMBIA
SEDE MANIZALES
MARZO, 2010
Contenido
INTRODUCCION 3
HISTORIA Y EVOLUCIÓN 4
- Primera Generación G1(Casuística) 4
-Tercera Generación G3 (Causal) 5
DESCRIPCION GENERAL DE LOS METODOS DE GESTION DE RIESGOS 6
⎫ MAGERIT 6
OBJETIVOS DE MAGERIT 6
⎫ MODELO DE BOEHM 7
TÉCNICAS DE BOEHM (medidas, salvaguardas) 7
⎫ MODELO McFARLAN (Riesgos en proyectos) 8
⎫ MODELO RISKMAN (Programa Eureka) / INICIATIVA RISKDRIVER 8
⎫ CRAMM 9
⎫ OCTAVE 9
ACTIVOS DEINFORMACIÓN 9
PERFILES DE AMENAZAS 9
⎫ EBIOS 10
UN MÉTODO RÁPIDO 10
UNA HERRAMIENTA REUTILIZABLE 10
COMPARATIVO CON COBIT 11
BIBLIOGRAFIA 16
INTRODUCCION
La mayoría de las organizaciones reconocen la función fundamental que la tecnología de la información desempeña en sus objetivos de negocio; con frecuencia las organizaciones no puedenreaccionar ante las nuevas amenazas de seguridad antes de que afecten su negocio. La administración de la seguridad de sus infraestructuras, y el valor de negocio que ofrecen, se ha convertido en una preocupación primordial para los departamentos de TI, y es por esto que se ha implementado la Gestión de riesgos, que realizada de una manera eficiente puede garantizar efectos económicos muyimportantes para cualquier organización, convirtiéndose en una herramienta par la toma de decisiones.
El presente documento describe las metodologías que se utilizan para la gestión de riesgos que conducen de una forma útil al análisis de los mismos y ofrecen a las organizaciones una guía de procedimientos para la implementación y el desarrollo de dicho análisis.
HISTORIA Y EVOLUCIÓN
Lagestión de riesgos pasa por tres generaciones de modelos de riesgos en proyectos informáticos:
- Primera Generación G1 (Casuística)
Esta generación data de principios de los años 80 y está basada en listas ‘casuísticas’ de riesgos especiales para proyectos, se identifican casos de riesgo y se extrapolan a otros proyectos. No hay una planificación específica.
En esta generación se definenlos Riesgos tecnológicos y las Listas de comprobación de riesgos.
En los años 40 se presento la teoría de la fiabilidad, arranque de la Teoría del Riesgo en Sistemas Complejos con el Teorema de Lusser: “la probabilidad de éxito de una cadena de componentes es el producto de las probabilidades de éxito de sus elementos” (la fiabilidad del conjunto es inferior a la de cada elemento separado; “lacadena se rompe siempre por su eslabón más débil”).
Para los años 60 se presentó el Análisis de riesgos cuantitativo (procesos markovianos) para describir el comportamiento de sistemas complejos con fallos ensayables y sin intervención manual, o cualitativo como los árboles de fallos para sistemas híbridos con la incertidumbre de la intervención humana y la imposibilidad de probar los impactossalvo por simulación. Se define el “riesgo como una entidad con dos dimensiones: probabilidad y consecuencia(s)” o sea vulnerabilidad e impacto.
En los 70s se hablo del Método general de Rasmussen. que incluía 6 etapas: Definición del proyecto de seguridad y su sistema objetivo; Análisis funcional de éste; Identificación de riesgos; Modelización delsistema; Evaluación de consecuencias;Síntesis y decisiones finales.
-Segunda Generación G2 (Taxonómica)
Se dio a principios de los años 90 y esta basada en modelos de procesos y eventos.
Dentro de esta generación se pueden incluir:
• Modelo de Boehm
• Modelo de Hall y su relación con el de madurez de SEI-CMM
• Modelo de Riesgos del SEI
• Modelo SPR de mejora de capacidad en la gestión del riesgo...
AIDA MILENA ROJAS SEPULVEDA
Cód. 906547
CARLOS HERNAN GÓMEZ
Auditoria de Sistemas II
ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS
UNIVERSIDAD NACIONAL DE COLOMBIA
SEDE MANIZALES
MARZO, 2010
Contenido
INTRODUCCION 3
HISTORIA Y EVOLUCIÓN 4
- Primera Generación G1(Casuística) 4
-Tercera Generación G3 (Causal) 5
DESCRIPCION GENERAL DE LOS METODOS DE GESTION DE RIESGOS 6
⎫ MAGERIT 6
OBJETIVOS DE MAGERIT 6
⎫ MODELO DE BOEHM 7
TÉCNICAS DE BOEHM (medidas, salvaguardas) 7
⎫ MODELO McFARLAN (Riesgos en proyectos) 8
⎫ MODELO RISKMAN (Programa Eureka) / INICIATIVA RISKDRIVER 8
⎫ CRAMM 9
⎫ OCTAVE 9
ACTIVOS DEINFORMACIÓN 9
PERFILES DE AMENAZAS 9
⎫ EBIOS 10
UN MÉTODO RÁPIDO 10
UNA HERRAMIENTA REUTILIZABLE 10
COMPARATIVO CON COBIT 11
BIBLIOGRAFIA 16
INTRODUCCION
La mayoría de las organizaciones reconocen la función fundamental que la tecnología de la información desempeña en sus objetivos de negocio; con frecuencia las organizaciones no puedenreaccionar ante las nuevas amenazas de seguridad antes de que afecten su negocio. La administración de la seguridad de sus infraestructuras, y el valor de negocio que ofrecen, se ha convertido en una preocupación primordial para los departamentos de TI, y es por esto que se ha implementado la Gestión de riesgos, que realizada de una manera eficiente puede garantizar efectos económicos muyimportantes para cualquier organización, convirtiéndose en una herramienta par la toma de decisiones.
El presente documento describe las metodologías que se utilizan para la gestión de riesgos que conducen de una forma útil al análisis de los mismos y ofrecen a las organizaciones una guía de procedimientos para la implementación y el desarrollo de dicho análisis.
HISTORIA Y EVOLUCIÓN
Lagestión de riesgos pasa por tres generaciones de modelos de riesgos en proyectos informáticos:
- Primera Generación G1 (Casuística)
Esta generación data de principios de los años 80 y está basada en listas ‘casuísticas’ de riesgos especiales para proyectos, se identifican casos de riesgo y se extrapolan a otros proyectos. No hay una planificación específica.
En esta generación se definenlos Riesgos tecnológicos y las Listas de comprobación de riesgos.
En los años 40 se presento la teoría de la fiabilidad, arranque de la Teoría del Riesgo en Sistemas Complejos con el Teorema de Lusser: “la probabilidad de éxito de una cadena de componentes es el producto de las probabilidades de éxito de sus elementos” (la fiabilidad del conjunto es inferior a la de cada elemento separado; “lacadena se rompe siempre por su eslabón más débil”).
Para los años 60 se presentó el Análisis de riesgos cuantitativo (procesos markovianos) para describir el comportamiento de sistemas complejos con fallos ensayables y sin intervención manual, o cualitativo como los árboles de fallos para sistemas híbridos con la incertidumbre de la intervención humana y la imposibilidad de probar los impactossalvo por simulación. Se define el “riesgo como una entidad con dos dimensiones: probabilidad y consecuencia(s)” o sea vulnerabilidad e impacto.
En los 70s se hablo del Método general de Rasmussen. que incluía 6 etapas: Definición del proyecto de seguridad y su sistema objetivo; Análisis funcional de éste; Identificación de riesgos; Modelización delsistema; Evaluación de consecuencias;Síntesis y decisiones finales.
-Segunda Generación G2 (Taxonómica)
Se dio a principios de los años 90 y esta basada en modelos de procesos y eventos.
Dentro de esta generación se pueden incluir:
• Modelo de Boehm
• Modelo de Hall y su relación con el de madurez de SEI-CMM
• Modelo de Riesgos del SEI
• Modelo SPR de mejora de capacidad en la gestión del riesgo...
Leer documento completo
Regístrate para leer el documento completo.