Evaluacion basada en factores de riesgo
Páginas: 19 (4707 palabras)
Publicado: 14 de junio de 2011
Evaluacion basada en factores de Riesgo
Risk Factor Based Assessment
Rodney A. López Rodríguez
VERTICE, rlopez@vertice.cu, Frexes Esq Guiteras
Resumen
La evaluación de riesgos en las tecnologías de la información así como el enfoque dado a su uso en Cuba esta plagado de subjetividad y carece de un enfoque estadístico y de gestión adecuados. Es por eso que en nuestro trabajobasándonos en el estudio del contexto de operaciones, de principios establecidos para la gestión TI y un enfoque estadístico nos planteamos la creación de un marco auditable de subjetividad reducida para la evaluación de los riesgos.
Palabras Clave:
Convergencia: Enfoque único de la seguridad dentro de la organización con el objetivo de crear mecanismos mas efectivos he involucrar a todas laspartes en un ambiente cooperativo para enfrentar amenazas comunes.
Procesos: Unidad lógica/organizacional determinada por elementos de entrada que a través de un conjunto de actividades se transforman en elementos de un conjunto de salida. Para desambiguar posibles caracterizaciones para un mismo proceso utilizamos el concepto de proceso atómico, elemental o básico que es aquel conjunto minimal deactividades que devuelvan un resultado de valor a al menos un actor.
Alineación: (de los objetivos) Correspondencia entre los objetivos generales de la organización y los de cada área de la misma.
Factor de Riesgo: Característica propia del sistema que lo hace más vulnerable a una amenaza especifica y que a su vez influye en alguno de sus atributos básicos.
Amenaza: Evento del sistema quepuede influir de manera negativa en el esquema de gestión.
Métricas: Estadígrafo, medida de la eficacia de los esfuerzos en seguridad de una organización a lo largo del tiempo.
Abstract
IT Risk Assessment and so on its approach in Cuba is plenty of subjective elements and lacks adequate statistical and management analysis. Risk Factor Based Assessment rely on business context, worldwideestablished IT management principles and statistical knowledge for creating an auditable, and reduced subjectiveness risk analysis framework.
Keywords:
Convergence: Unique focus of the organization security organization for creating mechanism more effectives to involve to all parts in a cooperative environment to face common threats.
Processes: Logical/organizational unit that transform an inputinto an output set of element through determined activities. The concept of atomic, elemental or basic process evolves a minimal set of activities returning a result of value to at least an actor.
Alignment: (of objectives) Correspondence between the general objectives of the organization and those of each area of the same one.
Risk Factor: System feature that makes it more vulnerable to athreat it specifies and influences in some of their basic attributes.
Threat: Event of the system that can influence in a negative way in the management outline.
Metric: Statistician, measure of effectiveness of the efforts in security of an organization throughout time.
1.INTRODUCCIÓN
La evaluación de riesgos cobra cada vez mayor protagonismo como herramienta a la hora de desarrollar unsistema de gestión de seguridad sea en las tecnologías de la información o en cualquier otra rama científico, económica o social.
Según Dan Geer la subjetividad es inherente al análisis de la seguridad, sin embargo es nuestro deber desarrollar metodologías lo mas objetivas posibles para obtener los resultados mas precisos que nos permitan desarrollar una estrategia de securización adecuada.
Hoy elmundo de la seguridad muestra conceptos nunca pensados tiempos atrás y cada vez mas las tendencias en las amenazas nos obligan a enfocarnos en las personas y en nuestro propio sistema pues si bien la seguridad se basaba en el estudio de elementos externos que nos amenazaban hoy se ha demostrado que son las características internas de nuestras redes las que nos hacen mas vulnerables o no a los...
Risk Factor Based Assessment
Rodney A. López Rodríguez
VERTICE, rlopez@vertice.cu, Frexes Esq Guiteras
Resumen
La evaluación de riesgos en las tecnologías de la información así como el enfoque dado a su uso en Cuba esta plagado de subjetividad y carece de un enfoque estadístico y de gestión adecuados. Es por eso que en nuestro trabajobasándonos en el estudio del contexto de operaciones, de principios establecidos para la gestión TI y un enfoque estadístico nos planteamos la creación de un marco auditable de subjetividad reducida para la evaluación de los riesgos.
Palabras Clave:
Convergencia: Enfoque único de la seguridad dentro de la organización con el objetivo de crear mecanismos mas efectivos he involucrar a todas laspartes en un ambiente cooperativo para enfrentar amenazas comunes.
Procesos: Unidad lógica/organizacional determinada por elementos de entrada que a través de un conjunto de actividades se transforman en elementos de un conjunto de salida. Para desambiguar posibles caracterizaciones para un mismo proceso utilizamos el concepto de proceso atómico, elemental o básico que es aquel conjunto minimal deactividades que devuelvan un resultado de valor a al menos un actor.
Alineación: (de los objetivos) Correspondencia entre los objetivos generales de la organización y los de cada área de la misma.
Factor de Riesgo: Característica propia del sistema que lo hace más vulnerable a una amenaza especifica y que a su vez influye en alguno de sus atributos básicos.
Amenaza: Evento del sistema quepuede influir de manera negativa en el esquema de gestión.
Métricas: Estadígrafo, medida de la eficacia de los esfuerzos en seguridad de una organización a lo largo del tiempo.
Abstract
IT Risk Assessment and so on its approach in Cuba is plenty of subjective elements and lacks adequate statistical and management analysis. Risk Factor Based Assessment rely on business context, worldwideestablished IT management principles and statistical knowledge for creating an auditable, and reduced subjectiveness risk analysis framework.
Keywords:
Convergence: Unique focus of the organization security organization for creating mechanism more effectives to involve to all parts in a cooperative environment to face common threats.
Processes: Logical/organizational unit that transform an inputinto an output set of element through determined activities. The concept of atomic, elemental or basic process evolves a minimal set of activities returning a result of value to at least an actor.
Alignment: (of objectives) Correspondence between the general objectives of the organization and those of each area of the same one.
Risk Factor: System feature that makes it more vulnerable to athreat it specifies and influences in some of their basic attributes.
Threat: Event of the system that can influence in a negative way in the management outline.
Metric: Statistician, measure of effectiveness of the efforts in security of an organization throughout time.
1.INTRODUCCIÓN
La evaluación de riesgos cobra cada vez mayor protagonismo como herramienta a la hora de desarrollar unsistema de gestión de seguridad sea en las tecnologías de la información o en cualquier otra rama científico, económica o social.
Según Dan Geer la subjetividad es inherente al análisis de la seguridad, sin embargo es nuestro deber desarrollar metodologías lo mas objetivas posibles para obtener los resultados mas precisos que nos permitan desarrollar una estrategia de securización adecuada.
Hoy elmundo de la seguridad muestra conceptos nunca pensados tiempos atrás y cada vez mas las tendencias en las amenazas nos obligan a enfocarnos en las personas y en nuestro propio sistema pues si bien la seguridad se basaba en el estudio de elementos externos que nos amenazaban hoy se ha demostrado que son las características internas de nuestras redes las que nos hacen mas vulnerables o no a los...
Leer documento completo
Regístrate para leer el documento completo.