analisis
Páginas: 5 (1050 palabras)
Publicado: 25 de junio de 2013
Análisis del riesgo. (Risk Assesment)
Se identifican riesgos y se evalúan su magnitud. Se lleva a cabo en una reunión donde participan personas de todas las áreas estratégicas: informática, gestión jurídica y seguridad, y es dirigida por el líder de seguridad. Forman el equipo de gestión de riesgos. También se incluye en el equipo, alguien con competencia financiera para evaluar los costes delos activos y los impactos de cada amenaza y vulnerabilidad en términos de pérdidas financieras.
El equipo de gestión de riesgos tiene las siguientes funciones:
Realizar el Análisis de Riesgo.
Implicar a todos los miembros de las unidades en el conocimiento sobre el proceso y en su mejora continua.
Realizar el Plan de tratamiento de riesgos (RTP).
Asumir la responsabilidad de los puntos deacción que salgan como consecuencia del RTP.
Participar en las reuniones de seguimiento del RTP.
Participar en la asunción de controles y colaborar en la toma de medidas para verificar que el valor de los riesgos ha decrecido.
El experto SGSI da soporte al equipo de gestión de riesgos sobre la aplicación de SGSI y las normas ISO 27001-27005.
Las reuniones de Análisis de riesgo se van arealizar semestralmente hasta que el modelo SGSI esté efectivamente implantado. Posteriormente se llevarán a cabo anualmente.
El modo en que el Análisis de riesgo se lleva a cabo es como sigue:
Revisión del escenario que cubre el SGSI.
Identificación y revisión (en su caso) de los activos del escenario.
Evaluación de los activos.
Identificación y revisión (en su caso) de las amenazas sobre losactivos.
Evaluación de las amenazas.
Identificación y revisión en su caso de las vulnerabilidades potenciales que pueden afectar a los activos del escenario.
Evaluación de las vulnerabilidades.
Análisis efectivo del riesgo.
Aceptación del riesgo.
Revisión del escenario: centra el análisis en el objeto principal, que es el escenario, y verifica si algún cambio le ha afectado. La descripcióndel escenario se recoge en el punto 5.1.1 de la Descripción General del SGSI.
Identificación y revisión de los activos: consiste en crear (o actualizar) una lista o inventario con todos los activos que están incluidos en el escenario cubierto por el SGSI. Ha de incluir, las personas y su competencia, los recursos informáticos, tanto a nivel de hardware como de software.
Es competencia delResponsable de seguridad mantener la lista de activos actualizada y, convocar un nuevo análisis extraordinario de riesgos en el caso de impactos serios sobre el inventario.
Evaluación de los activos. Los activos se evalúan de acuerdo con la importancia que para el negocio de la compañía representan. El activo se evalúa de acuerdo a un factor principal y dos factores secundarios. El factor principal es elimpacto en el negocio debido a la pérdida de su confidencialidad, modificación, destrucción o no disponibilidad del activo. Y los secundarios son su coste intrínseco y su dependencia con relación a otros activos.
Y el modo de evaluarlo es aplicando a cada activo la tabla siguiente:
Identificación y revisión de las amenazas. Consiste en definir y revisar en su caso una lista de amenazas quepueden afectar a alguno de los activos incluidos en el inventario. La lista de las amenazas se hace en línea con las pautas propuestas en la norma ISO/IEC 13335-3.
El líder de Seguridad es el responsable de mantener actualizada la lista de amenazas acordada en la última reunión del Análisis de Riesgos.
Evaluación de las amenazas. Las amenazas se evalúan en función de su grado de probabilidad.El grado de probabilidad esta en relación directa con:
La frecuencia con la que se produce, utilizando la estadística, o una estimación sobre la probabilidad de ocurrencia.
El grado de atracción que puede tener el activo para un posible intruso así como el grado de dificultad en la materialización de la amenaza.
Factores intrínsecos como los geográficos, de localización.
El grado de cada...
Se identifican riesgos y se evalúan su magnitud. Se lleva a cabo en una reunión donde participan personas de todas las áreas estratégicas: informática, gestión jurídica y seguridad, y es dirigida por el líder de seguridad. Forman el equipo de gestión de riesgos. También se incluye en el equipo, alguien con competencia financiera para evaluar los costes delos activos y los impactos de cada amenaza y vulnerabilidad en términos de pérdidas financieras.
El equipo de gestión de riesgos tiene las siguientes funciones:
Realizar el Análisis de Riesgo.
Implicar a todos los miembros de las unidades en el conocimiento sobre el proceso y en su mejora continua.
Realizar el Plan de tratamiento de riesgos (RTP).
Asumir la responsabilidad de los puntos deacción que salgan como consecuencia del RTP.
Participar en las reuniones de seguimiento del RTP.
Participar en la asunción de controles y colaborar en la toma de medidas para verificar que el valor de los riesgos ha decrecido.
El experto SGSI da soporte al equipo de gestión de riesgos sobre la aplicación de SGSI y las normas ISO 27001-27005.
Las reuniones de Análisis de riesgo se van arealizar semestralmente hasta que el modelo SGSI esté efectivamente implantado. Posteriormente se llevarán a cabo anualmente.
El modo en que el Análisis de riesgo se lleva a cabo es como sigue:
Revisión del escenario que cubre el SGSI.
Identificación y revisión (en su caso) de los activos del escenario.
Evaluación de los activos.
Identificación y revisión (en su caso) de las amenazas sobre losactivos.
Evaluación de las amenazas.
Identificación y revisión en su caso de las vulnerabilidades potenciales que pueden afectar a los activos del escenario.
Evaluación de las vulnerabilidades.
Análisis efectivo del riesgo.
Aceptación del riesgo.
Revisión del escenario: centra el análisis en el objeto principal, que es el escenario, y verifica si algún cambio le ha afectado. La descripcióndel escenario se recoge en el punto 5.1.1 de la Descripción General del SGSI.
Identificación y revisión de los activos: consiste en crear (o actualizar) una lista o inventario con todos los activos que están incluidos en el escenario cubierto por el SGSI. Ha de incluir, las personas y su competencia, los recursos informáticos, tanto a nivel de hardware como de software.
Es competencia delResponsable de seguridad mantener la lista de activos actualizada y, convocar un nuevo análisis extraordinario de riesgos en el caso de impactos serios sobre el inventario.
Evaluación de los activos. Los activos se evalúan de acuerdo con la importancia que para el negocio de la compañía representan. El activo se evalúa de acuerdo a un factor principal y dos factores secundarios. El factor principal es elimpacto en el negocio debido a la pérdida de su confidencialidad, modificación, destrucción o no disponibilidad del activo. Y los secundarios son su coste intrínseco y su dependencia con relación a otros activos.
Y el modo de evaluarlo es aplicando a cada activo la tabla siguiente:
Identificación y revisión de las amenazas. Consiste en definir y revisar en su caso una lista de amenazas quepueden afectar a alguno de los activos incluidos en el inventario. La lista de las amenazas se hace en línea con las pautas propuestas en la norma ISO/IEC 13335-3.
El líder de Seguridad es el responsable de mantener actualizada la lista de amenazas acordada en la última reunión del Análisis de Riesgos.
Evaluación de las amenazas. Las amenazas se evalúan en función de su grado de probabilidad.El grado de probabilidad esta en relación directa con:
La frecuencia con la que se produce, utilizando la estadística, o una estimación sobre la probabilidad de ocurrencia.
El grado de atracción que puede tener el activo para un posible intruso así como el grado de dificultad en la materialización de la amenaza.
Factores intrínsecos como los geográficos, de localización.
El grado de cada...
Leer documento completo
Regístrate para leer el documento completo.