Gestion de riesgo
- SOFTWARE:
· Magerit 2.0.
· GIRO.
· ORM de Monitor PLUS.
- METODOS GENERALES.
· Método Australiano/Neozelandés
· Risk Universe
- METODOS ESPECIFICOS.· NTP 537 Modelo Simplificado de Evaluación, Gestión Integral de Riesgo y Factor Humano.
· Modelo de los Pulmones.
· Cartilla Guía del Gobierno de Colombia.
· Hazop
A continuación, explicaremos brevemente los métodos investigado:
2.6.1. Magerit 2.0 (9).
Su sigla significa "Metodología de Análisis y Gestión de Riesgos de losSistemas de Información", fue creado por el Consejo Superior de Administración Electrónica y promueve su utilización como respuesta a la percepción de que la Administración y en general toda la sociedad, depende de forma creciente de las tecnologías de la información para el cumplimiento de su misión. La razón de ser de Magerit está directamente relacionada con la generalización del uso de losmedios electrónicos, informáticos, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.
2.6.1.2. Objetivos de Magerit:
• Crear conciencia a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.• Ofrecer un método sistemático para analizar tales riesgos.
• Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.
• Apoyar la preparación a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.
Asimismo, Magerit cuida la uniformidad de los informes que recogen hallazgos y lasconclusiones de un proyecto de análisis y gestión de riesgos: modelo de valor, mapa de riesgos, evaluación de salvaguardas, estado de riesgo, informe de insuficiencias y plan de seguridad.
La versión 2.0 está estructurada en 3 libros: "Método", "Catálogo de Elementos" y "Guía de Técnicas".
En el libro Nº 1 referido a los Métodos se describe la metodología desde 3 ángulos diferentes:
• Capítulo 2:Describe los pasos para realizar un análisis del estado de riesgo y para gestionar su mitigación. Es una presentación netamente conceptual.
• Capítulo 3: Describe las tareas básicas para realizar un proyecto de análisis y gestión de riesgos, entendiendo que no basta con tener los conceptos claros, sino que es conveniente pautar roles, hitos y documentación para que la realización del proyectode análisis y gestión de riesgos esté bajo control en todo momento.
• Capítulo 4: Aplica la metodología al caso del desarrollo de sistemas de información, en el entendimiento que los proyectos de desarrollo de sistemas deben tener en cuenta los riesgos desde el primer momento, tanto los riesgos a que están expuestos, como los riesgos que las propias aplicaciones introducen en el sistema.
Enel libro Nº 2 referido a "Catálogo de Elementos", como su nombre lo indica se ofrece un catálogo, abierto a ampliaciones, que marca unas pautas en cuanto a: tipo de activos, dimensiones de valoración de los activos, criterios de valoración de los activos, amenazas típicas sobre los sistemas de información y salvaguardas a considerar para proteger el sistema de información.
En este libro sepersigue los siguientes objetivos:
• Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido de ofrecerles elementos estándar a los que pueden adscribirse rápidamente, centrándose en lo específico del sistema objeto del análisis.
• Por otra parte, homogeneizar los resultados de los análisis, promoviendo una terminología y unos criterios uniformes...
Regístrate para leer el documento completo.