Modelo de Auditoria
Páginas: 28 (6808 palabras)
Publicado: 5 de octubre de 2014
MAGERIT
Versión 1.0
Metodología
de Análisis y Gestión de Riesgos
de los Sistemas de Información
Guía para responsables del
dominio protegible
GUIA PARA RESPONSABLES DEL DOMINIO PROTEGIBLE
1
1.1
1.2
2
2.1
2.2
2.3
2.4
2.5
2.6
2.7
2.8
2.9
3.
3.1
3.2
4
5.
INTRODUCCIÓN
Para quién y para qué esta Guía
La Gestión de la seguridad y el método MAGERIT
ELEMENTOS DELANÁLISIS DE RIESGOS
Identificación de los Activos protegibles del Dominio
Valoración de Activos
Conocimiento de las Amenazas
Estimación de las Vulnerabilidades
Identificación de Impactos
Estimación de Impactos
Riesgo
Mecanismos de salvaguarda
Interrelación entre los elementos de seguridad
PARTICIPACIÓN DEL RESPONSABLE DEL DOMINIO
EN MAGERIT
Descripción breve de las etapas del proceso quesigue MAGERIT
Intervención del Responsable del Dominio
FUNCIÓN DEL RESPONSABLE DEL DOMINIO
CUADRO RESUMEN
ANEXO 1: EQUIPO RESPONSABLE DEL PROYECTO
MAP - Metodología MAGERIT Versión 1.0
i
1
1
2
3
3
4
5
7
12
15
16
16
17
18
18
19
22
23
GUIA PARA RESPONSABLES DEL DOMINIO PROTEGIBLE
1
INTRODUCCIÓN
1.1
1
Para quién y para qué esta Guía
Esta Guía sedirige a los Directivos de un Dominio funcional de la Organización cuya misión o
cometido requiere sistemas de información y éstos seguridad de funcionamiento.
Los Directivos mencionados necesitan conocer de forma precisa los problemas que conlleva la falta
de seguridad de los sistemas de información. Para tener idea de la importancia que han adquirido estos
sistemas de información, basta conplantearse interna y sinceramente esta pregunta: ¿Cuánto tiempo
se puede mantener esa misión o cometido si deja de funcionar todo el sistema de información que
ahora usa el departamento? La hipótesis afortunadamente es remota, pero no imposible, según se ve
en todo tipo de ejemplos difundidos por la prensa: incendios de sedes centrales de bancos donde la
pérdida más crítica es el sistema deinformación; errores de programas que paralizan las
comunicaciones bancarias de medio país y con ellas todas las transacciones financieras; facilidades de
acceso a redes de información reservada, cuyas violaciones de confidencialidad causarían graves
perjuicios morales e incluso estratégicos ...
No cabe decir ya que éstos son accidentes excepcionales: también lo eran para los que los han
soportado,hasta que han ocurrido. La seguridad no es una limitación a la tecnología, sino la condición
básica para su empleo equilibrado y beneficioso. La necesidad de prevención no es nueva: por ejemplo
nadie deja de viajar porque puede tener un accidente, pero se viaja más tranquilo con un seguro, aunque
sólo evite algunas de sus consecuencias.
En circunstancias normales, el logro del cometido de undepartamento depende de una cooperación
estrecha entre sus directivos y sus ‘dirigidos’ (ambos ‘usuarios’ de las técnicas informáticas), con los
proveedores ‘informáticos’ de dichas técnicas. Para prever y dominar las circunstancias anormales,
esa cooperación debe extenderse e intensificarse al terreno de la seguridad, donde los directivos y los
usuarios tienen un papel aún más imprescindiblede corresponsabilidad que en circunstancias normales
(ya que, en materia de seguridad las personas desempeñan papeles aún más relevantes que los de las
técnicas).
La corresponsabilidad en materia de seguridad entre Directivos del Dominio‘usuario’ e informáticos
tiene un marco preciso. La organización confía a los primeros la gestión de unos activos o recursos de
los que son responsables anteella, también en materia de la seguridad de los sistemas de información
que utilizan. Esta Guía ayuda de forma sencilla a explicar el papel de los directivos como
‘Responsables del Dominio’ protegible en esta corresponsabilidad, para que puedan asumirla lo más
simple y eficazmente posible.
MAP - Metodología MAGERIT Versión 1.0
GUIA PARA RESPONSABLES DEL DOMINIO PROTEGIBLE
2
La...
Versión 1.0
Metodología
de Análisis y Gestión de Riesgos
de los Sistemas de Información
Guía para responsables del
dominio protegible
GUIA PARA RESPONSABLES DEL DOMINIO PROTEGIBLE
1
1.1
1.2
2
2.1
2.2
2.3
2.4
2.5
2.6
2.7
2.8
2.9
3.
3.1
3.2
4
5.
INTRODUCCIÓN
Para quién y para qué esta Guía
La Gestión de la seguridad y el método MAGERIT
ELEMENTOS DELANÁLISIS DE RIESGOS
Identificación de los Activos protegibles del Dominio
Valoración de Activos
Conocimiento de las Amenazas
Estimación de las Vulnerabilidades
Identificación de Impactos
Estimación de Impactos
Riesgo
Mecanismos de salvaguarda
Interrelación entre los elementos de seguridad
PARTICIPACIÓN DEL RESPONSABLE DEL DOMINIO
EN MAGERIT
Descripción breve de las etapas del proceso quesigue MAGERIT
Intervención del Responsable del Dominio
FUNCIÓN DEL RESPONSABLE DEL DOMINIO
CUADRO RESUMEN
ANEXO 1: EQUIPO RESPONSABLE DEL PROYECTO
MAP - Metodología MAGERIT Versión 1.0
i
1
1
2
3
3
4
5
7
12
15
16
16
17
18
18
19
22
23
GUIA PARA RESPONSABLES DEL DOMINIO PROTEGIBLE
1
INTRODUCCIÓN
1.1
1
Para quién y para qué esta Guía
Esta Guía sedirige a los Directivos de un Dominio funcional de la Organización cuya misión o
cometido requiere sistemas de información y éstos seguridad de funcionamiento.
Los Directivos mencionados necesitan conocer de forma precisa los problemas que conlleva la falta
de seguridad de los sistemas de información. Para tener idea de la importancia que han adquirido estos
sistemas de información, basta conplantearse interna y sinceramente esta pregunta: ¿Cuánto tiempo
se puede mantener esa misión o cometido si deja de funcionar todo el sistema de información que
ahora usa el departamento? La hipótesis afortunadamente es remota, pero no imposible, según se ve
en todo tipo de ejemplos difundidos por la prensa: incendios de sedes centrales de bancos donde la
pérdida más crítica es el sistema deinformación; errores de programas que paralizan las
comunicaciones bancarias de medio país y con ellas todas las transacciones financieras; facilidades de
acceso a redes de información reservada, cuyas violaciones de confidencialidad causarían graves
perjuicios morales e incluso estratégicos ...
No cabe decir ya que éstos son accidentes excepcionales: también lo eran para los que los han
soportado,hasta que han ocurrido. La seguridad no es una limitación a la tecnología, sino la condición
básica para su empleo equilibrado y beneficioso. La necesidad de prevención no es nueva: por ejemplo
nadie deja de viajar porque puede tener un accidente, pero se viaja más tranquilo con un seguro, aunque
sólo evite algunas de sus consecuencias.
En circunstancias normales, el logro del cometido de undepartamento depende de una cooperación
estrecha entre sus directivos y sus ‘dirigidos’ (ambos ‘usuarios’ de las técnicas informáticas), con los
proveedores ‘informáticos’ de dichas técnicas. Para prever y dominar las circunstancias anormales,
esa cooperación debe extenderse e intensificarse al terreno de la seguridad, donde los directivos y los
usuarios tienen un papel aún más imprescindiblede corresponsabilidad que en circunstancias normales
(ya que, en materia de seguridad las personas desempeñan papeles aún más relevantes que los de las
técnicas).
La corresponsabilidad en materia de seguridad entre Directivos del Dominio‘usuario’ e informáticos
tiene un marco preciso. La organización confía a los primeros la gestión de unos activos o recursos de
los que son responsables anteella, también en materia de la seguridad de los sistemas de información
que utilizan. Esta Guía ayuda de forma sencilla a explicar el papel de los directivos como
‘Responsables del Dominio’ protegible en esta corresponsabilidad, para que puedan asumirla lo más
simple y eficazmente posible.
MAP - Metodología MAGERIT Versión 1.0
GUIA PARA RESPONSABLES DEL DOMINIO PROTEGIBLE
2
La...
Leer documento completo
Regístrate para leer el documento completo.