Proceso de negocios y administración de riesgos
Páginas: 32 (7949 palabras)
Publicado: 21 de marzo de 2014
Objetivo:
• Análisis de riesgos.
• Identificación de riesgos.
• Magnitud del riesgo.
• Áreas que necesitan salvaguardar.
Introducción:
A lo largo de este documento desarrollaremos un plan para prevenir incidentes, aplicándolo a una empresa real; la cual será objeto de prueba, para utilizar los diferentes métodos de análisis de impacto, utilizando el método BIA.
La aplicación delos temas vistos en clase en problemas de la vida real nos ayuda a entender la importancia de los activos informáticos para una empresa y el porqué es importante mantenerlos a salvo de las diferentes amenazas que se pueden presentar o reducir las posibilidades de presentarse.
Investigación de herramientas de análisis
MAGERIT
Metodología de Análisis y Gestión de Riesgos de los Sistemas deInformación
• ¿Para quién? Y ¿para qué esta Guía?
Esta Guía se dirige a los Directivos de un Dominio funcional de la Organización cuya misión o Cometido requiere sistemas de información y éstos seguridad de funcionamiento.
Los Directivos conocen la forma precisa de los problemas que conlleva la falta de seguridad de los sistemas de información. Para tener idea de la importancia que hanadquirido estos sistemas de información, basta con plantearse interna y sinceramente esta pregunta:
¿Cuánto tiempo se puede mantener esa misión o cometido si deja de funcionar todo el sistema de información que ahora usa el departamento?.
Las Guías MAGERIT ofrecen la información que necesitan los directivos, considerados ahora en su corresponsabilidad sobre su dominio en materia deseguridad. Así pueden cooperar estrechamente con el Analista de Riesgos que usa MAGERIT con el objetivo de investigar la seguridad de los sistemas de información de su dominio y recomendar las salvaguardas o las medidas apropiadas que deberían adoptarse para promover y asegurar dicha seguridad
(MARGERIT)
ISO/IEC 27005
La serie de normas ISO/IEC 27000 son estándares de seguridad publicados porla Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).
La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI)
ISO/IEC 27005 - trata la gestión de riesgos en seguridad de lainformación. Es la que proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información, en soporte del proceso de gestión de riesgos de la norma
ISO 27005 no proporciona una metodología concreta de Análisis de Riesgos, sino que describe a través de su clausulado el proceso recomendado de análisis incluyendo las fases que lo conforman:
•Establecimiento del contexto (Cláusula 7)
• Evaluación del riesgo (Cláusula 8)
• Tratamiento del riesgo (Cláusula 9)
• Aceptación del riesgo (Cláusula 10)
• Comunicación del riesgo (Cláusula 11)
• Monitorización y revisión del riesgo (Cláusula 12)
La norma nos sirve para no tener dudas sobre los elementos que debe incluir toda buena metodología de Análisis de Riesgos.(Delitos Informaticos, 2008)
OCTAVE
Características:
Diferentes de los análisis tradicionales, enfocados a tecnología auto dirigido, flexible.
Equipo de análisis en OCTAVE:
• Identificar recursos importantes
• Enfocar las actividades de análisis de riegos
• Relacionar amenazas y vulnerabilidades
• Crear una estrategia de protección.Método OCTAVE:
Proceso 1: identificar la información a nivel general
Proceso 2: Identificar la información a nivel de gerencias operativas
Proceso 3 Identificar l información a nivel Operativo
Proceso 4: Crear “ Tasks profiles”
Proceso 5: Identificar componentes
Proceso 6: Evaluar los componentes
Proceso 7: Realizar un análisis de riegos
Proceso 8: Desarrollar...
• Análisis de riesgos.
• Identificación de riesgos.
• Magnitud del riesgo.
• Áreas que necesitan salvaguardar.
Introducción:
A lo largo de este documento desarrollaremos un plan para prevenir incidentes, aplicándolo a una empresa real; la cual será objeto de prueba, para utilizar los diferentes métodos de análisis de impacto, utilizando el método BIA.
La aplicación delos temas vistos en clase en problemas de la vida real nos ayuda a entender la importancia de los activos informáticos para una empresa y el porqué es importante mantenerlos a salvo de las diferentes amenazas que se pueden presentar o reducir las posibilidades de presentarse.
Investigación de herramientas de análisis
MAGERIT
Metodología de Análisis y Gestión de Riesgos de los Sistemas deInformación
• ¿Para quién? Y ¿para qué esta Guía?
Esta Guía se dirige a los Directivos de un Dominio funcional de la Organización cuya misión o Cometido requiere sistemas de información y éstos seguridad de funcionamiento.
Los Directivos conocen la forma precisa de los problemas que conlleva la falta de seguridad de los sistemas de información. Para tener idea de la importancia que hanadquirido estos sistemas de información, basta con plantearse interna y sinceramente esta pregunta:
¿Cuánto tiempo se puede mantener esa misión o cometido si deja de funcionar todo el sistema de información que ahora usa el departamento?.
Las Guías MAGERIT ofrecen la información que necesitan los directivos, considerados ahora en su corresponsabilidad sobre su dominio en materia deseguridad. Así pueden cooperar estrechamente con el Analista de Riesgos que usa MAGERIT con el objetivo de investigar la seguridad de los sistemas de información de su dominio y recomendar las salvaguardas o las medidas apropiadas que deberían adoptarse para promover y asegurar dicha seguridad
(MARGERIT)
ISO/IEC 27005
La serie de normas ISO/IEC 27000 son estándares de seguridad publicados porla Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).
La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI)
ISO/IEC 27005 - trata la gestión de riesgos en seguridad de lainformación. Es la que proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información, en soporte del proceso de gestión de riesgos de la norma
ISO 27005 no proporciona una metodología concreta de Análisis de Riesgos, sino que describe a través de su clausulado el proceso recomendado de análisis incluyendo las fases que lo conforman:
•Establecimiento del contexto (Cláusula 7)
• Evaluación del riesgo (Cláusula 8)
• Tratamiento del riesgo (Cláusula 9)
• Aceptación del riesgo (Cláusula 10)
• Comunicación del riesgo (Cláusula 11)
• Monitorización y revisión del riesgo (Cláusula 12)
La norma nos sirve para no tener dudas sobre los elementos que debe incluir toda buena metodología de Análisis de Riesgos.(Delitos Informaticos, 2008)
OCTAVE
Características:
Diferentes de los análisis tradicionales, enfocados a tecnología auto dirigido, flexible.
Equipo de análisis en OCTAVE:
• Identificar recursos importantes
• Enfocar las actividades de análisis de riegos
• Relacionar amenazas y vulnerabilidades
• Crear una estrategia de protección.Método OCTAVE:
Proceso 1: identificar la información a nivel general
Proceso 2: Identificar la información a nivel de gerencias operativas
Proceso 3 Identificar l información a nivel Operativo
Proceso 4: Crear “ Tasks profiles”
Proceso 5: Identificar componentes
Proceso 6: Evaluar los componentes
Proceso 7: Realizar un análisis de riegos
Proceso 8: Desarrollar...
Leer documento completo
Regístrate para leer el documento completo.