SEMANA 3
Páginas: 5 (1107 palabras)
Publicado: 11 de mayo de 2015
SEMANA 3
IVAN DARIO SIERRA RIOS
¿Cuáles son los elementos y planes necesarios para la evaluación de riesgos presentes en los activos de información de la empresa?
R. El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados. Esteanálisis de riesgo es indispensable para lograr una correcta administración del riesgo. La administración del riesgo hace referencia a la gestión de los recursos de la organización. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el riesgo totales:
RT (Riesgo Total) = Probabilidad x Impacto Promedio
A partir de esta fórmula determinaremos su tratamiento y después de aplicar los controles podremos obtener el riesgo residual.
Como se describe en el BS ISO/IEC 27001:2005, la evaluación del riesgo incluye las siguientes actividades y acciones:
Identificación de los activos.
Identificación de los requisitos legales y de negocios que sonrelevantes para la identificación de los activos.
Valoración de los activos identificados.
Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad.
Identificación de las amenazas y vulnerabilidades importantes para los activos identificados.
Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.Cálculo del riesgo.
Evaluación de los riesgos frente a una escala de riesgo preestablecidos.
Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser:
Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.
Eliminar el riesgo.- Eliminar el activo relacionado y con ello seelimina el riesgo.
Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero.
Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto se acepta.
2. Como asesor de la empresa y habiendo identificado los activos de información, Simón desea saber cuál es la valoración del riesgo presente en cada uno de los activos de laempresa y de qué manera aplica las normas y metodologías de seguridad informática.
R. Este trabajo se propone conocer las fortalezas y debilidades a las que pudieran estar sometidos los activos de información que están en custodia en la Dirección de Servicios Telemáticos (DST) con el fin de sugerir estrategias que minimicen la ocurrencia de posibles amenazas que en la mayoría de los casos explotan lasvulnerabilidades organizacionales. Basado en una metodología de estudio de caso, este estudio permitió recoger información detallada usando una variedad de sistemas de recolección de datos, como entrevistas semi-estructuradas, estructuradas y en profundidad, revisión bibliográfica y arqueo de fuentes. Igualmente, se realizaron visitas a las instalaciones de la dirección evaluada y se revisaronaspectos de seguridad física previstos en las Normas ISO-27001:2007. Se concluye que cada uno de los elementos en custodia de la DST es de suma importancia para la Universidad Simón Bolívar, por lo que se sugiere la aplicación de algunos controles establecidos en las normas ISO, para cada uno de dichos activos.
Palabras clave: ISO-27001:2007, seguridad de la información, análisis y evaluación deriesgo, activos de información.
Evaluación del Riesgo
Conocer el riesgo a los que están sometidos los activos es imprescindible para poder gestionarlos, y por ello han surgido una multitud de guías informales, aproximaciones metódicas y herramientas de soporte las cuales buscan objetivar el análisis para saber cuán seguros (o inseguros) están dichos activos y no llamarse a engaño (MAGERIT, 2005).
El...
IVAN DARIO SIERRA RIOS
¿Cuáles son los elementos y planes necesarios para la evaluación de riesgos presentes en los activos de información de la empresa?
R. El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados. Esteanálisis de riesgo es indispensable para lograr una correcta administración del riesgo. La administración del riesgo hace referencia a la gestión de los recursos de la organización. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el riesgo totales:
RT (Riesgo Total) = Probabilidad x Impacto Promedio
A partir de esta fórmula determinaremos su tratamiento y después de aplicar los controles podremos obtener el riesgo residual.
Como se describe en el BS ISO/IEC 27001:2005, la evaluación del riesgo incluye las siguientes actividades y acciones:
Identificación de los activos.
Identificación de los requisitos legales y de negocios que sonrelevantes para la identificación de los activos.
Valoración de los activos identificados.
Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad.
Identificación de las amenazas y vulnerabilidades importantes para los activos identificados.
Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.Cálculo del riesgo.
Evaluación de los riesgos frente a una escala de riesgo preestablecidos.
Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser:
Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.
Eliminar el riesgo.- Eliminar el activo relacionado y con ello seelimina el riesgo.
Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero.
Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto se acepta.
2. Como asesor de la empresa y habiendo identificado los activos de información, Simón desea saber cuál es la valoración del riesgo presente en cada uno de los activos de laempresa y de qué manera aplica las normas y metodologías de seguridad informática.
R. Este trabajo se propone conocer las fortalezas y debilidades a las que pudieran estar sometidos los activos de información que están en custodia en la Dirección de Servicios Telemáticos (DST) con el fin de sugerir estrategias que minimicen la ocurrencia de posibles amenazas que en la mayoría de los casos explotan lasvulnerabilidades organizacionales. Basado en una metodología de estudio de caso, este estudio permitió recoger información detallada usando una variedad de sistemas de recolección de datos, como entrevistas semi-estructuradas, estructuradas y en profundidad, revisión bibliográfica y arqueo de fuentes. Igualmente, se realizaron visitas a las instalaciones de la dirección evaluada y se revisaronaspectos de seguridad física previstos en las Normas ISO-27001:2007. Se concluye que cada uno de los elementos en custodia de la DST es de suma importancia para la Universidad Simón Bolívar, por lo que se sugiere la aplicación de algunos controles establecidos en las normas ISO, para cada uno de dichos activos.
Palabras clave: ISO-27001:2007, seguridad de la información, análisis y evaluación deriesgo, activos de información.
Evaluación del Riesgo
Conocer el riesgo a los que están sometidos los activos es imprescindible para poder gestionarlos, y por ello han surgido una multitud de guías informales, aproximaciones metódicas y herramientas de soporte las cuales buscan objetivar el análisis para saber cuán seguros (o inseguros) están dichos activos y no llamarse a engaño (MAGERIT, 2005).
El...
Leer documento completo
Regístrate para leer el documento completo.