analisis de gestion y riesgo
Páginas: 8 (1977 palabras)
Publicado: 14 de febrero de 2015
Postgrado de Informática
MEJORES PRÁCTICAS DE CREACIÓN Y GESTIÓN DE PLANES DE
CONTINUIDAD DE NEGOCIO
Evaluación a la Protección de los Activos de Información
Nombre: Belen Blanca Luna Machicado
Índice
1. INTRODUCCIÓN 2
2. Mejores Prácticas de Análisis y Gestión de Riesgo de TI 2
ISO 27005:2011 2
ISO 22301:2012 3
NIST SP 800 – 37 4
ISO 31000:2009 5
3. CONCLUSIONES YRECOMENDACIONES 5
4. BIBLIOGRAFÍA 6
Mejores Prácticas de Análisis y Gestión de Riesgo de TI
1. INTRODUCCIÓN
La importancia de una buena gestión de TI es de gran relevancia en el mercado. Un punto de crítica importancia al respecto es la gestión de riesgos tecnológicos, que en gran medida pueden ser desencadenantes de riesgos operacionales para la empresa. El análisis y gestión de riesgospermite a la organización tener una visión detallada y más exacta de los riesgos, y constituyen una buena herramienta de decisión acerca de qué riesgos pueden ser gestionados en un entorno de recursos limitados. El principal objetivo es asegurar la continuidad del negocio, se puede encontrar normas y estándares para el análisis y gestión de riesgos de la seguridad de la información como: ISO27005, NIST SP 800 – 37 e ISO 31000 que se definieran a continuación.
2. Mejores Prácticas de Análisis y Gestión de Riesgo de TI
ISO 27005:2011
ISO / IEC 27005, que forma parte de una familia creciente de ISO / IEC SGSI normas, la 'ISO / IEC 27000 serie, es un estándar de seguridad de la información publicada por la Organización Internacional de Normalización (ISO) y la Comisión ElectrotécnicaInternacional (IEC).
El propósito de la norma ISO / IEC 27005 es proporcionar directrices para la gestión de riesgos de seguridad de la información, es compatible con los conceptos generales especificados en la norma ISO / IEC 27001 y está diseñado para ayudar a la implementación satisfactoria de seguridad de la información basado en un enfoque de gestión de riesgos. Esta norma no específica,recomendar o incluso nombrar cualquier método de análisis de riesgo específico. Especifica más bien, un proceso estructurado, sistemático y riguroso de análisis de riesgos para la creación del plan de tratamiento de riesgos.
La norma define el riesgo como "una combinación de las consecuencias que se derivarían de la ocurrencia de un evento no deseado y la probabilidad de la ocurrencia del evento", elproceso de análisis del riesgo descrito en la norma indica la necesidad de identificar los activos de información en riesgo, las amenazas potenciales, fuente de amenaza, las vulnerabilidades potenciales y las posibles consecuencias (impactos) si los riesgos se materializan. Se da a entender claramente que las herramientas de evaluación de vulnerabilidad de la seguridad del sistema automatizado noson suficientes para el análisis de riesgo, sin tener en cuenta otras vulnerabilidades, además de las amenazas e impactos en su situación particular.
La norma sigue siendo deliberadamente agnóstica acerca de los métodos cuantitativos y cualitativos de evaluación de riesgos, fundamentalmente recomienda que los usuarios elijan cualquier método para la estimación de riesgos que más les convenga.Métodos podrían utilizarse para, por ejemplo, una evaluación de riesgos de alto nivel, donde se necesita un análisis de riesgos en profundidad sobre las zonas de alto riesgo.
Sus las actividades están presentadas en 6 fases:
Establecimiento del contexto.
Evaluación del riesgo.
Tratamiento del riesgo.
Aceptación del riesgo.
Comunicación del riesgo.
Monitoreo y revisión del riesgo.
ISO22301:2012
Como parte de los requerimientos que se deben tener en cuenta dentro de la implementación de este estándar es la definición de las necesidades de la organización, lo cual se logra estableciendo un alcance determinado. Es necesario tener una perspectiva clara de cuáles son los procesos que quedan cubiertos por los planes de continuidad, la definición del apetito al riesgo, el cual...
MEJORES PRÁCTICAS DE CREACIÓN Y GESTIÓN DE PLANES DE
CONTINUIDAD DE NEGOCIO
Evaluación a la Protección de los Activos de Información
Nombre: Belen Blanca Luna Machicado
Índice
1. INTRODUCCIÓN 2
2. Mejores Prácticas de Análisis y Gestión de Riesgo de TI 2
ISO 27005:2011 2
ISO 22301:2012 3
NIST SP 800 – 37 4
ISO 31000:2009 5
3. CONCLUSIONES YRECOMENDACIONES 5
4. BIBLIOGRAFÍA 6
Mejores Prácticas de Análisis y Gestión de Riesgo de TI
1. INTRODUCCIÓN
La importancia de una buena gestión de TI es de gran relevancia en el mercado. Un punto de crítica importancia al respecto es la gestión de riesgos tecnológicos, que en gran medida pueden ser desencadenantes de riesgos operacionales para la empresa. El análisis y gestión de riesgospermite a la organización tener una visión detallada y más exacta de los riesgos, y constituyen una buena herramienta de decisión acerca de qué riesgos pueden ser gestionados en un entorno de recursos limitados. El principal objetivo es asegurar la continuidad del negocio, se puede encontrar normas y estándares para el análisis y gestión de riesgos de la seguridad de la información como: ISO27005, NIST SP 800 – 37 e ISO 31000 que se definieran a continuación.
2. Mejores Prácticas de Análisis y Gestión de Riesgo de TI
ISO 27005:2011
ISO / IEC 27005, que forma parte de una familia creciente de ISO / IEC SGSI normas, la 'ISO / IEC 27000 serie, es un estándar de seguridad de la información publicada por la Organización Internacional de Normalización (ISO) y la Comisión ElectrotécnicaInternacional (IEC).
El propósito de la norma ISO / IEC 27005 es proporcionar directrices para la gestión de riesgos de seguridad de la información, es compatible con los conceptos generales especificados en la norma ISO / IEC 27001 y está diseñado para ayudar a la implementación satisfactoria de seguridad de la información basado en un enfoque de gestión de riesgos. Esta norma no específica,recomendar o incluso nombrar cualquier método de análisis de riesgo específico. Especifica más bien, un proceso estructurado, sistemático y riguroso de análisis de riesgos para la creación del plan de tratamiento de riesgos.
La norma define el riesgo como "una combinación de las consecuencias que se derivarían de la ocurrencia de un evento no deseado y la probabilidad de la ocurrencia del evento", elproceso de análisis del riesgo descrito en la norma indica la necesidad de identificar los activos de información en riesgo, las amenazas potenciales, fuente de amenaza, las vulnerabilidades potenciales y las posibles consecuencias (impactos) si los riesgos se materializan. Se da a entender claramente que las herramientas de evaluación de vulnerabilidad de la seguridad del sistema automatizado noson suficientes para el análisis de riesgo, sin tener en cuenta otras vulnerabilidades, además de las amenazas e impactos en su situación particular.
La norma sigue siendo deliberadamente agnóstica acerca de los métodos cuantitativos y cualitativos de evaluación de riesgos, fundamentalmente recomienda que los usuarios elijan cualquier método para la estimación de riesgos que más les convenga.Métodos podrían utilizarse para, por ejemplo, una evaluación de riesgos de alto nivel, donde se necesita un análisis de riesgos en profundidad sobre las zonas de alto riesgo.
Sus las actividades están presentadas en 6 fases:
Establecimiento del contexto.
Evaluación del riesgo.
Tratamiento del riesgo.
Aceptación del riesgo.
Comunicación del riesgo.
Monitoreo y revisión del riesgo.
ISO22301:2012
Como parte de los requerimientos que se deben tener en cuenta dentro de la implementación de este estándar es la definición de las necesidades de la organización, lo cual se logra estableciendo un alcance determinado. Es necesario tener una perspectiva clara de cuáles son los procesos que quedan cubiertos por los planes de continuidad, la definición del apetito al riesgo, el cual...
Leer documento completo
Regístrate para leer el documento completo.