ElAnalisisRiesgosBaseSistemaGestionSeguridadInformacion

Páginas: 8 (1995 palabras) Publicado: 29 de mayo de 2013
ANALISIS Y GESTION DE RIESGOS, 
ANALISIS Y GESTION DE RIESGOS
BASE FUNDAMENTAL DEL SGSI 
Caso: METODOLOGIA MAGERIT 
Armando Carvajal
Gerente Consultoría – Globaltek Security
armando.carvajal@globalteksecurity.com
Msc
M en seguridad informática de la Universidad Oberta d C l
id d i f
ái d l U i
id d Ob
de Catalunya ‐ E ñ
EspañaEspecialista en construcción de software para redes  Uniandes, Colombia
Ing. Sistemas – Universidad Incca de Colombia

Antecedentes

Por que medir el riesgo?
"La medición es el primer paso para el control y la mejora. Si algo no se
puede medir, no se puede entender. Si no se entiende, no se puede
controlar.
controlar Si no se puede controlar no se puede mejorar “
controlar,
mejorar.
H.James Harrington

Toda ti id d
T d actividad para quelogre los objetivos de
g
j
manera eficiente debe ser
p
planeada y debe tener
unos beneficios claros

UNA URBANIZACIÓN

UN CENTRO VACACIONAL

UN CRUCE DE AUTOPISTAS …

IMPROVISANDO TAMBIEN SE CRECE …..

PERO LOS RESULTADOS NO SON LOS
MEJORES

Y LOS COSTOS SE ELEVAN EN FORMA
EXPONENCIAL

EL RIESGO OPERACIONAL

Es la posibilidad de incurrir en pérdidas por deficiencias,fallas
o inadecuaciones, en el recurso humano, los procesos, la
Tecnología, la infraestructura o por la ocurrencia de
g ,
p
acontecimientos externos
“Superfinanciera de Colombia”

ACTORES DE LA SEGURIDAD
ACTORES DE LA SEGURIDAD
Infraestructura

Administración

Factor Humano

Circulares Superfinanciera
p

La Circular Externa 041 de 2007, aprobó la implementación del
Sistema deAdministración de Riesgos Operativos…

QUE ES ANÁLISIS DE RIESGOS? 
• Es l consideración sistemática del daño
la
ó
á
l
probable que puede causar en el negocio
un fallo en la seguridad de la información
información,
con las consecuencias potenciales de
p
pérdida de confidencialidad, integridad y
,
g
disponibilidad de la información

CUANTO INVERTIR EN SEGURIDAD DE LA INFORMACION?
•La respuesta esta directamente relacionada
con EL VALOR DEL ACTIVO A PROTEGER
•El valor de un activo depende de varios
factores:
•No solo de su costo de adquisición
•La información contenida en los activos
•Los procesos controlados
•El impacto en la organización cuando falle

Cuando debo invertir?

.

PROCESO DE EVALUACION 
DEL RIESGO
Amenazas

Aprovechan

VulnerabilidadesExponen

Aumentan

Aumentan

Protegen de

Controles

Disminuyen
y

Riesgos

Activos

Marcan
Imponen

Requerimientos
de seguridad
Juan Carlos Reyes, Seltika, 2007

Impactan si se
materializan

Tienen
Aumenta

Valor de los
Activos

Riesgo (1 de 2)
• Es la posibilidad de que se
p
produzca un impacto sobre algún
p
g
activo (Incurrir en perdidas)

Riesgo (2de 2)
• El control del riesgo como resultado
del análisis de riesgos, es un proceso
complejo que parte de la
determinación de los activos y las
amenazas

PROCESO DE EVALUACION 
DEL RIESGO
Amenazas

Aprovechan

Vulnerabilidades
Exponen

Aumentan

Aumentan

Protegen de

Controles

Disminuyen
y

Riesgos

Activos

Marcan
Imponen

Requerimientos
de seguridad
JuanCarlos Reyes, Seltika, 2007

Impactan si se
materializan

Tienen
Aumenta

Valor de los
Activos

Amenazas (1 de 4)
• Las amenazas son los eventos que
pueden desencadenar un incidente
en la organización, produciendo
daños materiales o pérdidas
inmateriales en sus activos

Amenazas (2 de 4)
• La consecuencia de la amenaza, si se
materializa, es un incidente que
modifica el estadode seguridad de
los activos amenazados
• Es decir, hace pasar el activo de un
ado
a a
o o o do o o
estado inicial anterior conocido a otro
posterior, que puede ser no deseable

Amenazas (3 de 4)
(
)
• Los activos están expuestos a
muchas clases de amenazas
• Las cuales pueden explotar sus
vulnerabilidades

Amenazas (4 de 4)
• Los controles de seguridad
que se...
Leer documento completo

Regístrate para leer el documento completo.

Conviértase en miembro formal de Buenas Tareas

INSCRÍBETE - ES GRATIS