Metodologias de analisi de riesgos

Solo disponible en BuenasTareas
  • Páginas : 33 (8162 palabras )
  • Descarga(s) : 4
  • Publicado : 29 de abril de 2010
Leer documento completo
Vista previa del texto
METODOLOGIAS DE ANALISIS DE RIESGOS
INTRODUCCION
El concepto de riesgo está presente en la totalidad de las actividades que realiza el ser humano, por lo que antes de implementar cualquier mecanismo de seguridad (software, hardware, política, etc.) en las Tecnologías de la Información, es necesario conocer la prioridad de aplicación y que tipi de medida puedo aplicar. El análisis deriesgos es el primer paso de la seguridad informática.

Un riesgo es un evento, el cual es incierto y tiene un impacto negativo. Análisis de riesgo es el proceso cuantitativo o cualitativo que permite evaluar los riesgos. Las metodologías de análisis de riesgos existentes describen sus etapas en forma teórica, se presentan pocos ejemplos o es necesario una herramienta para realizarlo, cuyo costonormalmente es elevado. Por lo anterior es necesario establecer una metodología cualitativa práctica para realizar un análisis de riesgos a la áreas de TI, estableciendo el cómo puede ejecutarse el análisis.

Esta descripción practica de un análisis de riesgos cuenta con una base teórica, tomando como base tres metodologías reconocidas, la publicada por el NIST en su docuemento SP 800-30, lametodología FRAAP (Facilitated Risk Analysis and Assessment Process) y MAGERIT de España.

Las etapas de esta metodología y una breve descripción de cada una, se describe a continuación:
1. Declaración del alcance.
En esta primera fase se define el motivo para la realización del análisis, la definición del o los procesos a evaluar.

2. Establecimiento del Equipo.
Definir el personalnecesario que participara en el análisis.

3. Entrevistas.
Fase que permite conocer el proceso desde el punto de vista de los dueños y usuarios de la información. Las herramientas pueden ser desde una lluvia de ideas hasta cuestionarios.

4. Identificación de procesos.
Como actividades principales se encuentran la elaboración del árbol de procesos a través de un Modelo Visual, para definirdependencias entre procesos y activos.

5. Identificación de activos.
Derivado del proceso a evaluar se determinan los activos principales.

6. Valoración de procesos y activos (impacto).
El modelo visual determina que proceso, subproceso o activos son determinantes para la ejecución continua del proceso.

7. Identificación amenazas.
8. De acuerdo a cada organización, lugar geográfico ylistas previamente elaboradas se deben definir las amenazas que pueden afectar nuestros activos.

9. Priorizar amenazas.
La frecuencia de algunas amenazas están establecidas a través de una formula sencilla en algunas tablas.

10. Determinar riesgo.
La relación entre amenaza-frecuencia- activo-impacto, es la condición principal a tomar en cuenta para determinar el riesgo.

11.Priorización de riesgos.
Las tablas de resultados nos permiten determinar cuales son nuestras prioridades.

12. Determinación de controles.
Existen controles determinados por estándares y metodologías una lista común puede ser de ayuda. El informe final debe determinar el control que se va a aplicar al activo de un proceso por un riesgo determinado.
ISO 27005
La familia de Normas ISO/IEC27000.
La ISO ha reservado la serie ISO/IEC 27000 para una gama de normas de gestión de la seguridad de la información de manera similar a lo acontecido con las normas de gestión de la calidad, la serie ISO 9000. En los últimos meses ha habido cambios relacionados con la numeración de dichas normas.
Hace unos días se publicó la Norma ISO/IEC 27006 “Information technology – Security techniques —Requirements for bodies providing audit and certification of information security management systems”. Este estándar especifica los requisitos para acreditar organismos que certifiquen Sistemas de Gestión de Seguridad de la Información aportando un esquema internacional para su acreditación.
La numeración actual de las Normas de la serie ISO/IEC 27000 es la siguiente:
Esta previsto que la...
tracking img