An Lisis De Riesgo
Páginas: 12 (2759 palabras)
Publicado: 12 de mayo de 2015
Índice
INTRODUCCIÓN 4
ALCANCE 4
OBJETIVO 4
1. Identificación del Riesgo 5
1.1. Identificación de Activos 5
1.2. Identificación de los Amenazas 5
1.3. Identificación de vulnerabilidades 6
1.4. Identificación del Impacto 6
1.5. Identificación de la Probabilidad 6
2. Anexos 6
INTRODUCCIÓN
El análisis de riesgo forma parte del proceso de gestión de seguridad, que permite tomar decisionespara proteger los activos de información así como los activos críticos, para la elaboración de este documento se ha recopilado información de los estándares o normas más relevantes, considerando la familia de las normas ISO 27000, y guías publicadas por NIST y NERC.
ISO27000 son el referente de seguridad internacional, siendo guías de buenas prácticas en seguridad de información, apoyando elestándar de Seguridad ISO27001
NIST es la organización más conocida en elaboración de guías de seguridad específicas para el gobierno de los Estados Unidos, alineada completamente con ISO.
NERC, guías diseñadas específicamente para la protección del sector eléctrico, como infraestructura crítica.
El análisis de riesgo nos permite determinar la exposición de los activos de información a las amenazas,estimando la probabilidad de ocurrencia y la magnitud del impacto, la reducción del riesgo a niveles aceptables se logra tomando acciones preventivas, correctivas o de contingencia.
Tomando en cuenta que el diagnósticos es válido para un momento puntual en el tiempo, no es algo estático sino que va a cambiar a lo largo del tiempo: nuevos activos, nuevos procesos, nuevas amenazas, modificación enla ocurrencia de las amenazas, nuevas vulnerabilidades, por lo que cada año la Corporación debe replantearse su diagnóstico.
Las pautas incluidas en el presente documento parten de la experiencia de la realización de análisis de riesgos e incorpora los enfoques de diferentes métodos existentes como Magerit, y Octave, entre otros.
ALCANCE
El alcance definido para el presente documento en laCELEC EP comprende los activos de información identificados, así como activos críticos.
OBJETIVO
Proporcionar un modelo para definir una metodología de gestión de riesgos válida para cualquier ámbito de la Corporación, que maneje activos de información u opere infraestructuras críticas, facilitando la identificación y evaluación de riesgos, identificar medidas de protección con un enfoque integralde la seguridad, la prevención, la reducción y control de los riesgos.
1
1 Identificación de procesos
Para definir los procesos, se debe tomar en cuenta los objetivos estratégicos de la Corporación seleccionando los que afectan la operatividad de la Corporación sean estos como parte del núcleo del negocio y las áreas de apoyo.
En base a la información que se tiene sobre los procesos de laCorporación, se definirá el alcance para el levantamiento de información, y nivel de evaluación utilizada en los activos de información.
Los procesos seleccionados serán revisados y aprobados por el Oficial de Seguridad, lo acuerdos llegados deben ser registrados en una acta de reunión de acuerdo.
Definidos los procesos se determinará el dueño de cada uno, flujos de datos, y documentación existente, paralas relaciones con otros procesos y el manejo de información en cada uno.
2 Plan de entrevistas
Para la correcta ejecución del levantamiento de información es necesario realizar un plan de entrevistas, a través de estas se podrá identificar los activos y las vulnerabilidades existentes en la organización.
El plan de entrevistas deberá contener el nombre del entrevistado, fecha de entrevista,tiempo de duración, proceso del cual es dueño, para coordinar y confirmar fechas de entrevistas.
Las entrevistas serán realizadas por el equipo de Seguridad de Información, de acuerdo al cronograma establecido y aprobado por el Oficial de Seguridad.
Antes de comenzar con el levantamiento de información el Oficial de Seguridad informará a todos los involucrados (entrevistados y entrevistadores), el...
Índice
INTRODUCCIÓN 4
ALCANCE 4
OBJETIVO 4
1. Identificación del Riesgo 5
1.1. Identificación de Activos 5
1.2. Identificación de los Amenazas 5
1.3. Identificación de vulnerabilidades 6
1.4. Identificación del Impacto 6
1.5. Identificación de la Probabilidad 6
2. Anexos 6
INTRODUCCIÓN
El análisis de riesgo forma parte del proceso de gestión de seguridad, que permite tomar decisionespara proteger los activos de información así como los activos críticos, para la elaboración de este documento se ha recopilado información de los estándares o normas más relevantes, considerando la familia de las normas ISO 27000, y guías publicadas por NIST y NERC.
ISO27000 son el referente de seguridad internacional, siendo guías de buenas prácticas en seguridad de información, apoyando elestándar de Seguridad ISO27001
NIST es la organización más conocida en elaboración de guías de seguridad específicas para el gobierno de los Estados Unidos, alineada completamente con ISO.
NERC, guías diseñadas específicamente para la protección del sector eléctrico, como infraestructura crítica.
El análisis de riesgo nos permite determinar la exposición de los activos de información a las amenazas,estimando la probabilidad de ocurrencia y la magnitud del impacto, la reducción del riesgo a niveles aceptables se logra tomando acciones preventivas, correctivas o de contingencia.
Tomando en cuenta que el diagnósticos es válido para un momento puntual en el tiempo, no es algo estático sino que va a cambiar a lo largo del tiempo: nuevos activos, nuevos procesos, nuevas amenazas, modificación enla ocurrencia de las amenazas, nuevas vulnerabilidades, por lo que cada año la Corporación debe replantearse su diagnóstico.
Las pautas incluidas en el presente documento parten de la experiencia de la realización de análisis de riesgos e incorpora los enfoques de diferentes métodos existentes como Magerit, y Octave, entre otros.
ALCANCE
El alcance definido para el presente documento en laCELEC EP comprende los activos de información identificados, así como activos críticos.
OBJETIVO
Proporcionar un modelo para definir una metodología de gestión de riesgos válida para cualquier ámbito de la Corporación, que maneje activos de información u opere infraestructuras críticas, facilitando la identificación y evaluación de riesgos, identificar medidas de protección con un enfoque integralde la seguridad, la prevención, la reducción y control de los riesgos.
1
1 Identificación de procesos
Para definir los procesos, se debe tomar en cuenta los objetivos estratégicos de la Corporación seleccionando los que afectan la operatividad de la Corporación sean estos como parte del núcleo del negocio y las áreas de apoyo.
En base a la información que se tiene sobre los procesos de laCorporación, se definirá el alcance para el levantamiento de información, y nivel de evaluación utilizada en los activos de información.
Los procesos seleccionados serán revisados y aprobados por el Oficial de Seguridad, lo acuerdos llegados deben ser registrados en una acta de reunión de acuerdo.
Definidos los procesos se determinará el dueño de cada uno, flujos de datos, y documentación existente, paralas relaciones con otros procesos y el manejo de información en cada uno.
2 Plan de entrevistas
Para la correcta ejecución del levantamiento de información es necesario realizar un plan de entrevistas, a través de estas se podrá identificar los activos y las vulnerabilidades existentes en la organización.
El plan de entrevistas deberá contener el nombre del entrevistado, fecha de entrevista,tiempo de duración, proceso del cual es dueño, para coordinar y confirmar fechas de entrevistas.
Las entrevistas serán realizadas por el equipo de Seguridad de Información, de acuerdo al cronograma establecido y aprobado por el Oficial de Seguridad.
Antes de comenzar con el levantamiento de información el Oficial de Seguridad informará a todos los involucrados (entrevistados y entrevistadores), el...
Leer documento completo
Regístrate para leer el documento completo.