Gestión de riesgos en servicios de ti
Páginas: 8 (1920 palabras)
Publicado: 28 de julio de 2010
La Gestión de Riesgos en servicios TI
La disciplina de la gestión de riesgos es una herramienta imprescindible para el logro de la misión de un Servicio. La dependencia de los procesos de negocio es tal que los riesgos a los que están sometido este Servicio pueden poner en peligro el logro de los objetivos del negocio. La gestión de los riesgos (conocer, prevenir y evaluar) es una parte imprescindible para mantener la seguridad de un Servicio. La gestión de riesgos no es pues una actividad que se ejecute una única vez, sino un ciclo de gestión que mantienen al Servicio preparado para superar unas amenazas siempre cambiantes. Así pues la gestión de riesgos es un ciclo PDCA (Plan‐Do‐Check‐Act o Planificar, Ejecutar, Comprobar y Actualizar):
1. Comprobar o evaluar las amenazas, vulnerabilidades y controles puestos en marcha por una organización para mitigar los riesgos de sus Servicios. 2. Actualizar los controles que se han de poner en marcha para mitigar los niveles de riesgo identificados. 3. Planificar los controles o controles a llevar a cabo y planificar la periodicidad de las evaluaciones. 4. Ejecutar las actividades planificadas para la mitigación de riesgos.
Metodología de Evaluación de Riesgos
1 de 10
autor: slopezperez
La G Gestión de e Riesgos e en servicios TI
Etapa 1: Id dentificació ón del Alcan nce del Siste ema de Ges stión
Iden ntificación de elementos
Etapa 2: Id dentificacióón de Amen nazas
Amenazas específica as proveniente es de fuentes de amenazas s
Eta apa 3:Ident tificación de e Vulnerabi ilidades
Vulnerabilidades respe ecto a amenaz zas
Etapa 4 4: Análisis d de Controle es
Controles im mplantados en el momento del establecim miento del Sis stema
Etapa 5: Det E terminación n de Probab bilidad
Probabilidad de o ocurrencia de e un evento no o deseadoEtapa 6: Análisis de Impacto o
Impacto sobre e el Servicio
Eta apa 7: Determinación d del Nivel de e Riesgo
Nivel de Riesgo (po or activo/serv vicio/proceso d de negocio)
Etapa 8: Propuesta de Control les
Nuevos co ontroles de ge estión del ries sgo
ETA APA 1: Ide entificac ción del a alcance del Sistem ma de Ges stión
Objet tivo: Identific car el sistem ma a evaluar y y el alcance dde la evaluac ción de riesg gos a llevar a cabo. . Entra adas: − − − − Definición de Sistema a por parte d de los interlocutores Misión de e sistema (su u relación con el negocio o) Compone entes human nos y tecnoló ógicos. Conocimi iento tangibl le (procesos/ /procedimientos) e intan ngible (exper riencia) exist tente en el Serv vicio.
Salida as: Al final de esta et tapa se conoocerán − Los límite es del sistem ma a evaluar (qué proces sos de negocio, servicios TI, compone entes e informa ación va a so ometerse a un análisis de e vulnerabilid dades y cuále es no). Se recogerán en la plant tilla de Servic cios y Activos s. Cuál es la a criticidad d de la informa ación y los ac ctivos que m maneja el sist tema en términos s C.I.D (Confidencialidad, , Integridad yy Disponibilid dad)
−
2 d de 10
a autor: slopez zperez
La Gestión de Riesgos en servicios TI
− −
Árboles de Servicio (FTA) , donde se muestre la relación de los procesos de negocio con los servicios de TI. Identificación de activos/servicios/procesos de negocio
La seguridad de la información se define como la preservación de las siguientes características C.I.D. : a)Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a ella. b) Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento. c) Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera. ...
La disciplina de la gestión de riesgos es una herramienta imprescindible para el logro de la misión de un Servicio. La dependencia de los procesos de negocio es tal que los riesgos a los que están sometido este Servicio pueden poner en peligro el logro de los objetivos del negocio. La gestión de los riesgos (conocer, prevenir y evaluar) es una parte imprescindible para mantener la seguridad de un Servicio. La gestión de riesgos no es pues una actividad que se ejecute una única vez, sino un ciclo de gestión que mantienen al Servicio preparado para superar unas amenazas siempre cambiantes. Así pues la gestión de riesgos es un ciclo PDCA (Plan‐Do‐Check‐Act o Planificar, Ejecutar, Comprobar y Actualizar):
1. Comprobar o evaluar las amenazas, vulnerabilidades y controles puestos en marcha por una organización para mitigar los riesgos de sus Servicios. 2. Actualizar los controles que se han de poner en marcha para mitigar los niveles de riesgo identificados. 3. Planificar los controles o controles a llevar a cabo y planificar la periodicidad de las evaluaciones. 4. Ejecutar las actividades planificadas para la mitigación de riesgos.
Metodología de Evaluación de Riesgos
1 de 10
autor: slopezperez
La G Gestión de e Riesgos e en servicios TI
Etapa 1: Id dentificació ón del Alcan nce del Siste ema de Ges stión
Iden ntificación de elementos
Etapa 2: Id dentificacióón de Amen nazas
Amenazas específica as proveniente es de fuentes de amenazas s
Eta apa 3:Ident tificación de e Vulnerabi ilidades
Vulnerabilidades respe ecto a amenaz zas
Etapa 4 4: Análisis d de Controle es
Controles im mplantados en el momento del establecim miento del Sis stema
Etapa 5: Det E terminación n de Probab bilidad
Probabilidad de o ocurrencia de e un evento no o deseadoEtapa 6: Análisis de Impacto o
Impacto sobre e el Servicio
Eta apa 7: Determinación d del Nivel de e Riesgo
Nivel de Riesgo (po or activo/serv vicio/proceso d de negocio)
Etapa 8: Propuesta de Control les
Nuevos co ontroles de ge estión del ries sgo
ETA APA 1: Ide entificac ción del a alcance del Sistem ma de Ges stión
Objet tivo: Identific car el sistem ma a evaluar y y el alcance dde la evaluac ción de riesg gos a llevar a cabo. . Entra adas: − − − − Definición de Sistema a por parte d de los interlocutores Misión de e sistema (su u relación con el negocio o) Compone entes human nos y tecnoló ógicos. Conocimi iento tangibl le (procesos/ /procedimientos) e intan ngible (exper riencia) exist tente en el Serv vicio.
Salida as: Al final de esta et tapa se conoocerán − Los límite es del sistem ma a evaluar (qué proces sos de negocio, servicios TI, compone entes e informa ación va a so ometerse a un análisis de e vulnerabilid dades y cuále es no). Se recogerán en la plant tilla de Servic cios y Activos s. Cuál es la a criticidad d de la informa ación y los ac ctivos que m maneja el sist tema en términos s C.I.D (Confidencialidad, , Integridad yy Disponibilid dad)
−
2 d de 10
a autor: slopez zperez
La Gestión de Riesgos en servicios TI
− −
Árboles de Servicio (FTA) , donde se muestre la relación de los procesos de negocio con los servicios de TI. Identificación de activos/servicios/procesos de negocio
La seguridad de la información se define como la preservación de las siguientes características C.I.D. : a)Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a ella. b) Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento. c) Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera. ...
Leer documento completo
Regístrate para leer el documento completo.