metodos de gestion de riesgo
Páginas: 12 (2909 palabras)
Publicado: 12 de abril de 2014
METODOLOGIAS DE GESTION DE RIESGOS
AIDA MILENA ROJAS SEPULVEDA
Cód. 906547
CARLOS HERNAN GÓMEZ
Auditoria de Sistemas II
ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS
UNIVERSIDAD NACIONAL DE COLOMBIA
SEDE MANIZALES
MARZO, 2010
Contenido
Contenido 2
INTRODUCCION 3
HISTORIA Y EVOLUCIÓN 4
- Primera Generación G1 (Casuística) 4
-Tercera Generación G3 (Causal) 5DESCRIPCION GENERAL DE LOS METODOS DE GESTION DE RIESGOS 6
MAGERIT 6
OBJETIVOS DE MAGERIT 6
MODELO DE BOEHM 7
TÉCNICAS DE BOEHM (medidas, salvaguardas) 7
MODELO McFARLAN (Riesgos en proyectos) 8
MODELO RISKMAN (Programa Eureka) / INICIATIVA RISKDRIVER 8
CRAMM 9
OCTAVE 9
ACTIVOS DE INFORMACIÓN 9
PERFILES DE AMENAZAS 9
EBIOS 10
UN MÉTODO RÁPIDO 10
UNA HERRAMIENTA REUTILIZABLE 10COMPARATIVO CON COBIT 11
BIBLIOGRAFIA 16
INTRODUCCION
La mayoría de las organizaciones reconocen la función fundamental que la tecnología de la información desempeña en sus objetivos de negocio; con frecuencia las organizaciones no pueden reaccionar ante las nuevas amenazas de seguridad antes de que afecten su negocio. La administración de la seguridad de sus infraestructuras,y el valor de negocio que ofrecen, se ha convertido en una preocupación primordial para los departamentos de TI, y es por esto que se ha implementado la Gestión de riesgos, que realizada de una manera eficiente puede garantizar efectos económicos muy importantes para cualquier organización, convirtiéndose en una herramienta par la toma de decisiones.
El presente documento describe lasmetodologías que se utilizan para la gestión de riesgos que conducen de una forma útil al análisis de los mismos y ofrecen a las organizaciones una guía de procedimientos para la implementación y el desarrollo de dicho análisis.
HISTORIA Y EVOLUCIÓN
La gestión de riesgos pasa por tres generaciones de modelos de riesgos en proyectos informáticos:
- Primera Generación G1 (Casuística)
Estageneración data de principios de los años 80 y está basada en listas ‘casuísticas’ de riesgos especiales para proyectos, se identifican casos de riesgo y se extrapolan a otros proyectos. No hay una planificación específica.
En esta generación se definen los Riesgos tecnológicos y las Listas de comprobación de riesgos.
En los años 40 se presento la teoría de la fiabilidad, arranque de la Teoría del Riesgoen Sistemas Complejos con el Teorema de Lusser: “la probabilidad de éxito de una cadena de componentes es el producto de las probabilidades de éxito de sus elementos” (la fiabilidad del conjunto es inferior a la de cada elemento separado; “la cadena se rompe siempre por su eslabón más débil”).
Para los años 60 se presentó el Análisis de riesgos cuantitativo (procesos markovianos) para describirel comportamiento de sistemas complejos con fallos ensayables y sin intervención manual, o cualitativo como los árboles de fallos para sistemas híbridos con la incertidumbre de la intervención humana y la imposibilidad de probar los impactos salvo por simulación. Se define el “riesgo como una entidad con dos dimensiones: probabilidad y consecuencia(s)” o sea vulnerabilidad e impacto.
En los 70sse hablo del Método general de Rasmussen. que incluía 6 etapas: Definición del proyecto de seguridad y su sistema objetivo; Análisis funcional de éste; Identificación de riesgos; Modelización delsistema; Evaluación de consecuencias; Síntesis y decisiones finales.
-Segunda Generación G2 (Taxonómica)
Se dio a principios de los años 90 y esta basada en modelos de procesos y eventos.Dentro de esta generación se pueden incluir:
• Modelo de Boehm
• Modelo de Hall y su relación con el de madurez de SEI-CMM
• Modelo de Riesgos del SEI
• Modelo SPR de mejora de capacidad en la gestión del riesgo
-Tercera Generación G3 (Causal)
Esta es la generación actualmente emergente. Arranca con Eurométodo 96, MAGERIT 97, ISPL 98, etc.
Está influenciada por otros modelos ‘causales’...
AIDA MILENA ROJAS SEPULVEDA
Cód. 906547
CARLOS HERNAN GÓMEZ
Auditoria de Sistemas II
ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS
UNIVERSIDAD NACIONAL DE COLOMBIA
SEDE MANIZALES
MARZO, 2010
Contenido
Contenido 2
INTRODUCCION 3
HISTORIA Y EVOLUCIÓN 4
- Primera Generación G1 (Casuística) 4
-Tercera Generación G3 (Causal) 5DESCRIPCION GENERAL DE LOS METODOS DE GESTION DE RIESGOS 6
MAGERIT 6
OBJETIVOS DE MAGERIT 6
MODELO DE BOEHM 7
TÉCNICAS DE BOEHM (medidas, salvaguardas) 7
MODELO McFARLAN (Riesgos en proyectos) 8
MODELO RISKMAN (Programa Eureka) / INICIATIVA RISKDRIVER 8
CRAMM 9
OCTAVE 9
ACTIVOS DE INFORMACIÓN 9
PERFILES DE AMENAZAS 9
EBIOS 10
UN MÉTODO RÁPIDO 10
UNA HERRAMIENTA REUTILIZABLE 10COMPARATIVO CON COBIT 11
BIBLIOGRAFIA 16
INTRODUCCION
La mayoría de las organizaciones reconocen la función fundamental que la tecnología de la información desempeña en sus objetivos de negocio; con frecuencia las organizaciones no pueden reaccionar ante las nuevas amenazas de seguridad antes de que afecten su negocio. La administración de la seguridad de sus infraestructuras,y el valor de negocio que ofrecen, se ha convertido en una preocupación primordial para los departamentos de TI, y es por esto que se ha implementado la Gestión de riesgos, que realizada de una manera eficiente puede garantizar efectos económicos muy importantes para cualquier organización, convirtiéndose en una herramienta par la toma de decisiones.
El presente documento describe lasmetodologías que se utilizan para la gestión de riesgos que conducen de una forma útil al análisis de los mismos y ofrecen a las organizaciones una guía de procedimientos para la implementación y el desarrollo de dicho análisis.
HISTORIA Y EVOLUCIÓN
La gestión de riesgos pasa por tres generaciones de modelos de riesgos en proyectos informáticos:
- Primera Generación G1 (Casuística)
Estageneración data de principios de los años 80 y está basada en listas ‘casuísticas’ de riesgos especiales para proyectos, se identifican casos de riesgo y se extrapolan a otros proyectos. No hay una planificación específica.
En esta generación se definen los Riesgos tecnológicos y las Listas de comprobación de riesgos.
En los años 40 se presento la teoría de la fiabilidad, arranque de la Teoría del Riesgoen Sistemas Complejos con el Teorema de Lusser: “la probabilidad de éxito de una cadena de componentes es el producto de las probabilidades de éxito de sus elementos” (la fiabilidad del conjunto es inferior a la de cada elemento separado; “la cadena se rompe siempre por su eslabón más débil”).
Para los años 60 se presentó el Análisis de riesgos cuantitativo (procesos markovianos) para describirel comportamiento de sistemas complejos con fallos ensayables y sin intervención manual, o cualitativo como los árboles de fallos para sistemas híbridos con la incertidumbre de la intervención humana y la imposibilidad de probar los impactos salvo por simulación. Se define el “riesgo como una entidad con dos dimensiones: probabilidad y consecuencia(s)” o sea vulnerabilidad e impacto.
En los 70sse hablo del Método general de Rasmussen. que incluía 6 etapas: Definición del proyecto de seguridad y su sistema objetivo; Análisis funcional de éste; Identificación de riesgos; Modelización delsistema; Evaluación de consecuencias; Síntesis y decisiones finales.
-Segunda Generación G2 (Taxonómica)
Se dio a principios de los años 90 y esta basada en modelos de procesos y eventos.Dentro de esta generación se pueden incluir:
• Modelo de Boehm
• Modelo de Hall y su relación con el de madurez de SEI-CMM
• Modelo de Riesgos del SEI
• Modelo SPR de mejora de capacidad en la gestión del riesgo
-Tercera Generación G3 (Causal)
Esta es la generación actualmente emergente. Arranca con Eurométodo 96, MAGERIT 97, ISPL 98, etc.
Está influenciada por otros modelos ‘causales’...
Leer documento completo
Regístrate para leer el documento completo.