Metodología de riesgo del NIST
Páginas: 6 (1342 palabras)
Publicado: 17 de julio de 2013
Metodología del riesgo del NIST
Fundado en el año de 1901, el NIST es una agencia federal no reguladora dentro del
Departamento de Comercio de los Estados Unidos, cuya misión consiste en promover la
innovación y la competitividad industrial de dicha nación, a través del avance de la ciencia de
medición, los estándares y la tecnología en formas que mejoren la seguridad económica y de
esamanera contribuir a mejorar la calidad de vida de sus habitantes.
El Laboratorio de Tecnologías de la Información (ITL) del Instituto Nacional de Estándares y
Tecnología (NIST) desarrolla pruebas, métodos de prueba, datos de referencia, las
implementaciones de prueba de concepto, y los análisis técnicos para avanzar en el desarrollo y
uso productivo de las tecnologías de la información en losEstados Unidos, incluyendo el
desarrollo de estándares técnicos, físicos y administrativos y de gestión, entre los cuales se
encuentra la publicación especial serie 800, en donde se incorpora la metodología de riesgo del
NIST.
Como un producto complementario que forme parte de un programa de gestión de riesgo
institucional la metodología de riesgo del NIST busca proporcionar orientación para todala
empresa en la gestión integrada de riesgos de seguridad informática en lo que respecta a todos
los factores que intervienen en las operaciones de la organización, sus activos, individuos,
funciones y sus sistemas de información. Siendo los usuarios de esta guía los funcionarios de la
alta administración que definen los aspectos estratégicos de la organización, así como los
responsables dela gestión estratégica y funcional de Tecnologías de Información en la
organización y encargados de dar seguimiento y monitoreo a esta infraestructura tecnológica.
Componentes de la gestión de riesgos
Según esta metodología del NIST la gestión de riesgos permite determinar una visión integral
de toda la organización y realizar la toma de decisiones basada en riesgos desde los nivelesestratégicos hasta los tácticos, considerando 4 componentes que se describen a continuación:
a. Determinar el riesgo. Este componente describe como las organizaciones
conceptualizan el marco o contexto de riesgo en su entorno, estableciendo una base
para su gestión y delimitando los límites de las decisiones basadas en riesgo. Es preciso
que las organizaciones precisen los supuestos de riesgo, elimpacto y probabilidad de
ocurrencia, las limitaciones en la evaluación de riesgos, la tolerancia al riesgo y las
prioridades y compensaciones entre los diferentes riesgos identificados, así como los
plazos para hacer frente a los riesgos y factores de incertidumbre que consideren
necesario considerar.
b. Evaluar el riesgo. Tiene como objetivo realizar una evaluación para identificar lasamenazas a la organización, vulnerabilidades las consecuencias y efectos que pueda
producir la materialización de los riesgos y su probabilidad de su ocurrencia.
c. Responder al riesgo. Determina los tipos de respuesta implementados para tratar los
riesgos evaluados, señalando si la organización decidió aceptar, evitar, mitigar,
compartir o transferir el riesgo. También se identifican lasherramientas, técnicas y
metodologías para desarrollar cursos de acción.
d. Monitorear el riesgo. Este componente conceptualiza el cómo las organizaciones
controlan el riesgo a través del tiempo, conforme las medidas implementadas de
respuesta a los riesgos identificados previamente, y que pueden variar según las
condiciones del entorno.
Utilizando un enfoque de tres niveles se pretende lograr laintegración en el proceso de gestión
de riesgos en la organización, el cual se compone de el nivel de organización (TIER 1), el nivel de
procesos del negocio (TIER 2) y el nivel de sistemas de información (TIER 3).
A través del enfoque de nivel de organización se ocupa del riesgo mediante el establecimiento
y aplicación de estructuras de gobierno corporativo, visto desde la perspectiva de...
Fundado en el año de 1901, el NIST es una agencia federal no reguladora dentro del
Departamento de Comercio de los Estados Unidos, cuya misión consiste en promover la
innovación y la competitividad industrial de dicha nación, a través del avance de la ciencia de
medición, los estándares y la tecnología en formas que mejoren la seguridad económica y de
esamanera contribuir a mejorar la calidad de vida de sus habitantes.
El Laboratorio de Tecnologías de la Información (ITL) del Instituto Nacional de Estándares y
Tecnología (NIST) desarrolla pruebas, métodos de prueba, datos de referencia, las
implementaciones de prueba de concepto, y los análisis técnicos para avanzar en el desarrollo y
uso productivo de las tecnologías de la información en losEstados Unidos, incluyendo el
desarrollo de estándares técnicos, físicos y administrativos y de gestión, entre los cuales se
encuentra la publicación especial serie 800, en donde se incorpora la metodología de riesgo del
NIST.
Como un producto complementario que forme parte de un programa de gestión de riesgo
institucional la metodología de riesgo del NIST busca proporcionar orientación para todala
empresa en la gestión integrada de riesgos de seguridad informática en lo que respecta a todos
los factores que intervienen en las operaciones de la organización, sus activos, individuos,
funciones y sus sistemas de información. Siendo los usuarios de esta guía los funcionarios de la
alta administración que definen los aspectos estratégicos de la organización, así como los
responsables dela gestión estratégica y funcional de Tecnologías de Información en la
organización y encargados de dar seguimiento y monitoreo a esta infraestructura tecnológica.
Componentes de la gestión de riesgos
Según esta metodología del NIST la gestión de riesgos permite determinar una visión integral
de toda la organización y realizar la toma de decisiones basada en riesgos desde los nivelesestratégicos hasta los tácticos, considerando 4 componentes que se describen a continuación:
a. Determinar el riesgo. Este componente describe como las organizaciones
conceptualizan el marco o contexto de riesgo en su entorno, estableciendo una base
para su gestión y delimitando los límites de las decisiones basadas en riesgo. Es preciso
que las organizaciones precisen los supuestos de riesgo, elimpacto y probabilidad de
ocurrencia, las limitaciones en la evaluación de riesgos, la tolerancia al riesgo y las
prioridades y compensaciones entre los diferentes riesgos identificados, así como los
plazos para hacer frente a los riesgos y factores de incertidumbre que consideren
necesario considerar.
b. Evaluar el riesgo. Tiene como objetivo realizar una evaluación para identificar lasamenazas a la organización, vulnerabilidades las consecuencias y efectos que pueda
producir la materialización de los riesgos y su probabilidad de su ocurrencia.
c. Responder al riesgo. Determina los tipos de respuesta implementados para tratar los
riesgos evaluados, señalando si la organización decidió aceptar, evitar, mitigar,
compartir o transferir el riesgo. También se identifican lasherramientas, técnicas y
metodologías para desarrollar cursos de acción.
d. Monitorear el riesgo. Este componente conceptualiza el cómo las organizaciones
controlan el riesgo a través del tiempo, conforme las medidas implementadas de
respuesta a los riesgos identificados previamente, y que pueden variar según las
condiciones del entorno.
Utilizando un enfoque de tres niveles se pretende lograr laintegración en el proceso de gestión
de riesgos en la organización, el cual se compone de el nivel de organización (TIER 1), el nivel de
procesos del negocio (TIER 2) y el nivel de sistemas de información (TIER 3).
A través del enfoque de nivel de organización se ocupa del riesgo mediante el establecimiento
y aplicación de estructuras de gobierno corporativo, visto desde la perspectiva de...
Leer documento completo
Regístrate para leer el documento completo.