Metodologias De Analisis De Riesgos
Páginas: 11 (2651 palabras)
Publicado: 25 de febrero de 2013
UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO
FACULTAD DE INGENIERÍA
SEGURIDAD INFORMÁTICA I
TEMA DE INVESTIGACION
“METODOLOGIAS DE ANALISIS DE RIESGOS”
PROFESORA: M.I. Cintia Quezada Reyes
ALUMNA:
CHAFLOQUE CAPUÑAL LUZ MILAGROS
FECHA DE ENTREGA: 09 DE OCTUBRE DEL 2012.
METODOLOGIAS DE ANALISIS DE RIESGOS
En primer lugar conviene clarificar qué seentiende por riesgo. Dentro del contexto de un análisis de riesgos, es la estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente.
Existen numerosas metodologías disponibles para la realización de análisis de riesgos, ya quees una labor que requiere de bastante dedicación y con una metodología estructurada se facilita la tarea, sobre todo si existe una herramienta que simplifique todo el proceso.
La organización debe escoger aquella que se ajuste a sus necesidades, y si considera varias opciones, inclinarse por la más sencilla. Hay que tener en cuenta que el análisis de riesgos debe revisarse periódicamente, por loque si se hace con una metodología complicada, esta labor necesitará de una dedicación excesiva.
A continuación se detallarán algunas de las metodologías más reconocidas:
A) FRAP
Facilitated Risk Analysis Process (FRAP) analiza un sistema, una aplicación o un segmento del negocio a la vez. Se convoca a un equipo de personas que incluya administradores y de soporte. El equipo realiza unalluvia de ideas sobre las amenazas potenciales, las vulnerabilidades y los impactos negativos resultantes sobre la integridad, confidencialidad y disponibilidad de los datos/recursos. Se analiza el impacto sobre las operaciones de la empresa. Se priorizan las amenazas y riesgos. Después de identificar y categorizar los riesgos, el grupo identifica los controles que puedan mitigar los riesgos.La metodología FRAP consiste en lo siguiente:
1. Reunión pre-FRAP (aprox. 1 hora)
* Establecer el alcance
* Diagrama visual (proceso a analizar)
* Miembros del equipo
* Mecánica de las reuniones
2. Sesión FRAP (aprox. 3 horas)
* Riesgos identificados
* Riesgos priorizados
* Controles sugeridos
3. Proceso post-FRAP (hasta 10 días)
*Llenar hoja de referencias cruzadas
* Identificación de controles existentes
* Selección de controles para riesgos abiertos o aceptar riesgos
B) MAGERIT
Magerit es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen deforma creciente de las tecnologías de la información para el cumplimiento de su misión.
La razón de ser de Magerit está directamente relacionada con la generalización del uso de las tecnologías de la información, que supone unos beneficios evidentes para los usuarios; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.
Interesa a todosaquellos que trabajan con información digital y sistemas informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, Magerit les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con Magerit se persigue unaaproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.
B.1 Descripción
Magerit persigue los siguientes objetivos:
* Concientizar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.
* Ofrecer un método sistemático para analizar tales riesgos.
* Ayudar a...
FACULTAD DE INGENIERÍA
SEGURIDAD INFORMÁTICA I
TEMA DE INVESTIGACION
“METODOLOGIAS DE ANALISIS DE RIESGOS”
PROFESORA: M.I. Cintia Quezada Reyes
ALUMNA:
CHAFLOQUE CAPUÑAL LUZ MILAGROS
FECHA DE ENTREGA: 09 DE OCTUBRE DEL 2012.
METODOLOGIAS DE ANALISIS DE RIESGOS
En primer lugar conviene clarificar qué seentiende por riesgo. Dentro del contexto de un análisis de riesgos, es la estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente.
Existen numerosas metodologías disponibles para la realización de análisis de riesgos, ya quees una labor que requiere de bastante dedicación y con una metodología estructurada se facilita la tarea, sobre todo si existe una herramienta que simplifique todo el proceso.
La organización debe escoger aquella que se ajuste a sus necesidades, y si considera varias opciones, inclinarse por la más sencilla. Hay que tener en cuenta que el análisis de riesgos debe revisarse periódicamente, por loque si se hace con una metodología complicada, esta labor necesitará de una dedicación excesiva.
A continuación se detallarán algunas de las metodologías más reconocidas:
A) FRAP
Facilitated Risk Analysis Process (FRAP) analiza un sistema, una aplicación o un segmento del negocio a la vez. Se convoca a un equipo de personas que incluya administradores y de soporte. El equipo realiza unalluvia de ideas sobre las amenazas potenciales, las vulnerabilidades y los impactos negativos resultantes sobre la integridad, confidencialidad y disponibilidad de los datos/recursos. Se analiza el impacto sobre las operaciones de la empresa. Se priorizan las amenazas y riesgos. Después de identificar y categorizar los riesgos, el grupo identifica los controles que puedan mitigar los riesgos.La metodología FRAP consiste en lo siguiente:
1. Reunión pre-FRAP (aprox. 1 hora)
* Establecer el alcance
* Diagrama visual (proceso a analizar)
* Miembros del equipo
* Mecánica de las reuniones
2. Sesión FRAP (aprox. 3 horas)
* Riesgos identificados
* Riesgos priorizados
* Controles sugeridos
3. Proceso post-FRAP (hasta 10 días)
*Llenar hoja de referencias cruzadas
* Identificación de controles existentes
* Selección de controles para riesgos abiertos o aceptar riesgos
B) MAGERIT
Magerit es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen deforma creciente de las tecnologías de la información para el cumplimiento de su misión.
La razón de ser de Magerit está directamente relacionada con la generalización del uso de las tecnologías de la información, que supone unos beneficios evidentes para los usuarios; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.
Interesa a todosaquellos que trabajan con información digital y sistemas informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, Magerit les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con Magerit se persigue unaaproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.
B.1 Descripción
Magerit persigue los siguientes objetivos:
* Concientizar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.
* Ofrecer un método sistemático para analizar tales riesgos.
* Ayudar a...
Leer documento completo
Regístrate para leer el documento completo.