Magerit versión 2
Objetivos de Magerit
Directos: concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo ofrecer un método sistemático para analizar tales riesgos ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control Indirectos: preparar a la Organización paraprocesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso
Introducción al análisis y gestión de riesgos
Seguridad es la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad yconfidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.
. El análisis y gestión de riesgos en su contexto
El análisis de riesgos permite determinar cómo es, cuánto vale y cómo de protegidos se encuentran los activos. En coordinación con los objetivos, estrategia y política de la Organización, las actividades degestión de riesgos permiten elaborar un plan de seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que se acepta la Dirección.
Evaluación, certificación, auditoría y acreditación
Cuándo procede analizar y gestionar los riesgos
Un análisis de riesgos es recomendable en cualquier Organización que dependa de los sistemas de información ycomunicaciones para el cumplimiento de su misión. En particular en cualquier entorno donde se practique la tramitación electrónica de bienes y servicios, sea en contexto público o privado. El análisis de riesgos permite tomar decisiones de inversión en tecnología, desde la adquisición de equipos de producción hasta el despliegue de un centro alternativo para asegurar la continuidad de la actividad, pasandopor las decisiones de adquisición de salvaguardas técnicas y de selección y capacitación del personal. El análisis de riesgos es una herramienta de gestión que permite tomar decisiones.
2. Realización del análisis y de la gestión
Se expone conceptualmente en qué consiste el análisis de riesgos y su gestión, qué se busca en cada momento y qué conclusiones se derivan. Hay dosgrandes tareas a realizar: I. análisis de riesgos II. gestión de riesgos
2.1. Análisis de Riesgos
El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo los siguientes pasos: 1. determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación 2. determinar aqué amenazas están expuestos aquellos activos 3. determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo 4. estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza 5. estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza
2.1.1. Paso 1: Activos
Se denominan activos los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección. El activo esencial es la información que maneja el sistema; o sea los datos. Y alrededor de estos datos se pueden identificar otros activos relevantes: Los servicios que se pueden prestargracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos.
2.1.1. Paso 1: Activos
Las aplicaciones informáticas (software) que permiten manejar los datos. Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y servicios. Los soportes de información que son dispositivos de almacenamiento de datos. El equipamiento auxiliar que...
Regístrate para leer el documento completo.