Metodologia De Administracion De Riesgos Nist Sp 800-30
Páginas: 21 (5075 palabras)
Publicado: 17 de abril de 2012
METODOLOGIA DE ADMINISTRACION DE RIESGOS NIST SP 800-30
MAYTÉ PATRICIA ARIAS GONZÁLEZ
MAURICIO LLANOS GÓMEZ
UNIVERSIDAD CATOLICA DE COLOMBIA
FACULTAD DE INGENIERIA
GESTION DE RIESGOS Y CONTROLES INFORMÁTICOS
BOGOTÁ
2012
CONTENIDO
INTRODUCCIÓN 3
METODOLOGIA DE ANALISIS DE RIESGOS NIST SP 800-30 4
1. Origen 4
2. Objetivos 4
3. Estructura yAplicación de la Metodología NIST SP 800-30 4
3.1 Evaluación del riesgo 5
Paso 1: Caracterización del sistema 7
Paso 2: Identificación de amenazas 8
Paso 3: Identificación de vulnerabilidades: 10
Paso 4: Análisis de control 12
Paso 5: Cálculo de probabilidad 18
Paso 6: Análisis de impacto 19
Paso 7: Determinación del riesgo 21
Paso 8: Recomendaciones de control 22
Paso 9: Documentación deresultados 22
3.2 Mitigación del riesgo 23
3.3 Análisis y evaluación 24
CONCLUSIONES 25
BIBLIOGRAFIA 26
INTRODUCCIÓN
La Administración de Riesgos forma parte integral de las buenas prácticas empresariales. Consiste en un proceso iterativo que comprende varios pasos ejecutados en forma secuencial, posibilitando la mejora continua de los procesos para una mejor toma de decisiones.En el presente escrito se describirá la metodología de Administración de Riesgos NIST SP 800 - 30, la cual ofrece pautas para la gestión del riesgo identificando su evaluación, gestión, control y mitigación.
Esta metodología propone inicialmente la caracterización del sistema, esto
comprende la visión del entorno del sistema de información así como un
inventario de activos. Se plantea larecolección de un listado de amenazas que
podrían explotar las vulnerabilidades del sistema, un listado de vulnerabilidades
relacionadas a los activos, y un listado de controles. La Evaluación del Riesgo
comprende la determinación de la probabilidad de vulnerabilidades, análisis del
impacto y ocurrencia de amenazas, cálculo del riesgo y finalmente la toma de
decisiones y controles recomendados.METODOLOGIA DE ANALISIS DE RIESGOS NIST SP 800-30
1. Origen
NIST es el National Institute of Standards and Technology (Instituto Nacional de Normas y Tecnología) es una agencia federal fundada en 1901 para la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. La misión de este instituto es promover la innovación y la competencia industrial en EstadosUnidos mediante avances en metrología, normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida de las personas.
El NIST tiene como política que la fabricación y venta de productos fuera de Estados Unidos utilicen tecnología licenciada en NIST y cuente con su debida certificación de este modo se asegura la calidad del producto.
2. Objetivos
Los objetivos de lametodología NIST SP 800-30 son:
• Aseguramiento de los sistemas de Información que almacenan, procesan y transmiten información.
• Gestión de Riesgos
• Optimizar la administración de Riesgos a partir del resultado en el análisis de riesgos.
3. Estructura y Aplicación de la Metodología NIST SP 800-30
A continuación se describirá la Metodología para la Gestión de Riesgos de los Sistemas deInformación NIST SP 800-30, la cual tiene como objetivo primordial la evaluación de los riesgos que soportan los Sistemas de Información. Esta gestión debe estar basada en un soporte metodológico que junto a profesionales especializados y herramientas, proporcione un soporte adecuado.
La gestión de riesgos no solamente juega un papel crítico en la protección de los activos de la organización,sino que además permite identificar: todos los activos importantes para la seguridad de los sistemas de información y en ellos:
• Las amenazas que pueden afectarles
• Vulnerabilidad de cada uno de ellos frente a estas amenazas y calcular el riesgo existente de un posible impacto sobre el activo.
Una vez reunida toda esta información se pueden tomar las decisiones pertinentes para implantar...
MAYTÉ PATRICIA ARIAS GONZÁLEZ
MAURICIO LLANOS GÓMEZ
UNIVERSIDAD CATOLICA DE COLOMBIA
FACULTAD DE INGENIERIA
GESTION DE RIESGOS Y CONTROLES INFORMÁTICOS
BOGOTÁ
2012
CONTENIDO
INTRODUCCIÓN 3
METODOLOGIA DE ANALISIS DE RIESGOS NIST SP 800-30 4
1. Origen 4
2. Objetivos 4
3. Estructura yAplicación de la Metodología NIST SP 800-30 4
3.1 Evaluación del riesgo 5
Paso 1: Caracterización del sistema 7
Paso 2: Identificación de amenazas 8
Paso 3: Identificación de vulnerabilidades: 10
Paso 4: Análisis de control 12
Paso 5: Cálculo de probabilidad 18
Paso 6: Análisis de impacto 19
Paso 7: Determinación del riesgo 21
Paso 8: Recomendaciones de control 22
Paso 9: Documentación deresultados 22
3.2 Mitigación del riesgo 23
3.3 Análisis y evaluación 24
CONCLUSIONES 25
BIBLIOGRAFIA 26
INTRODUCCIÓN
La Administración de Riesgos forma parte integral de las buenas prácticas empresariales. Consiste en un proceso iterativo que comprende varios pasos ejecutados en forma secuencial, posibilitando la mejora continua de los procesos para una mejor toma de decisiones.En el presente escrito se describirá la metodología de Administración de Riesgos NIST SP 800 - 30, la cual ofrece pautas para la gestión del riesgo identificando su evaluación, gestión, control y mitigación.
Esta metodología propone inicialmente la caracterización del sistema, esto
comprende la visión del entorno del sistema de información así como un
inventario de activos. Se plantea larecolección de un listado de amenazas que
podrían explotar las vulnerabilidades del sistema, un listado de vulnerabilidades
relacionadas a los activos, y un listado de controles. La Evaluación del Riesgo
comprende la determinación de la probabilidad de vulnerabilidades, análisis del
impacto y ocurrencia de amenazas, cálculo del riesgo y finalmente la toma de
decisiones y controles recomendados.METODOLOGIA DE ANALISIS DE RIESGOS NIST SP 800-30
1. Origen
NIST es el National Institute of Standards and Technology (Instituto Nacional de Normas y Tecnología) es una agencia federal fundada en 1901 para la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. La misión de este instituto es promover la innovación y la competencia industrial en EstadosUnidos mediante avances en metrología, normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida de las personas.
El NIST tiene como política que la fabricación y venta de productos fuera de Estados Unidos utilicen tecnología licenciada en NIST y cuente con su debida certificación de este modo se asegura la calidad del producto.
2. Objetivos
Los objetivos de lametodología NIST SP 800-30 son:
• Aseguramiento de los sistemas de Información que almacenan, procesan y transmiten información.
• Gestión de Riesgos
• Optimizar la administración de Riesgos a partir del resultado en el análisis de riesgos.
3. Estructura y Aplicación de la Metodología NIST SP 800-30
A continuación se describirá la Metodología para la Gestión de Riesgos de los Sistemas deInformación NIST SP 800-30, la cual tiene como objetivo primordial la evaluación de los riesgos que soportan los Sistemas de Información. Esta gestión debe estar basada en un soporte metodológico que junto a profesionales especializados y herramientas, proporcione un soporte adecuado.
La gestión de riesgos no solamente juega un papel crítico en la protección de los activos de la organización,sino que además permite identificar: todos los activos importantes para la seguridad de los sistemas de información y en ellos:
• Las amenazas que pueden afectarles
• Vulnerabilidad de cada uno de ellos frente a estas amenazas y calcular el riesgo existente de un posible impacto sobre el activo.
Una vez reunida toda esta información se pueden tomar las decisiones pertinentes para implantar...
Leer documento completo
Regístrate para leer el documento completo.