1. Definir el enfoque para evaluar los riesgos2. Análisis del Riesgo
Realizar el inventario de activos Identificar amenazas y vulnerabilidades Cálculo del riesgo
Identificar las opciones de tratamiento del riesgo
Gestión del riesgo
Establecer una metodología de gestión de riesgos apropiada para el SGSI y las necesidades de la organización.
Existen muchas metodologías de gestión de riesgos aceptadas internacionalmente; la organización puede optar por una de ellas, hacer una combinación de varias o crear la suya propia. E
El riesgo nunca es totalmente eliminable -ni sería rentable hacerlo-, por lo que es necesario definir una estrategia de aceptación de riesgo.
Enfoque para la gestión del riesgo
El análisis de riesgo de TI es el análisis de los activos, sus amenazas, sus riesgos asociados, y como estos se correlacionan con los procesos del negocio.
Análisis de riesgo
El realizar un análisis del riesgo de TI es un proceso que debe ser cuidadoso y exhaustivo.
Análisis de riesgo
ActivoUn activo es algo que tiene valor o utilidad para la
organización, sus operaciones comerciales y su continuidad.
Activo de InformaciónSe denominan activos los recursos del sistema de
información o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección.
Identificación de activos
Activos de información (datos, manuales de usuario, etc.). Documentos de papel (contratos). Activos de software (aplicación, software de sistemas,
etc.). Activos físicos (computadoras, medios magnéticos, etc.). Instalaciones Personal (clientes, personal). Imagen de la compañía y reputación. Servicios (comunicaciones, etc.).
Activos de Información
• Relaciones de dependencia entre los procesos del negocio y los activos de información.
• Relaciones de dependencia entre activos de información.
El término ‘propietario’ identifica a la persona o entidad que tiene la responsabilidad gerencial aprobada de controlar la producción, desarrollo, mantenimiento, uso y seguridad de los activos.
El término ‘propietario’ no significa que la persona tenga en realidad derechos de propiedad sobre el activo.
Propietario de los activos
El propietario de los activos debe ser responsable por: Definir la clasificación de seguridad Los derechos de acceso a los activos, y Establecer los sistemas de control. Revisar periódicamente los derechos de acceso y la
clasificación de seguridad. Definir, documentar e implementar reglas para el uso
aceptable de activos, describiendo acciones permitidas y prohibidas en el uso cotidiano de los activos. Las personas que utilizan los activos, deben estar conscientes de estas reglas como parte de su descripción del puesto.
Propietario de los activos
Tasación de activos¿Cómo una pérdida o una falla en un determinado activo
afecta la confidencialidad, la integridad y la disponibilidad?
ACTIVO DE INFORMACIÓN CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD TOTALBase de datos de C. Consumo 5 5 4 5Equipo central de producción 5 5 5 5PC Terminal 1 1 4 2Teléfonos 4 1 3 3Copias de respaldo 5 5 3 4Línea dedicada 2 2 5 3
DESCRIPCIÓN VALORMuy alto 5
Alto 4Medio 3
Bajo 2Muy bajo 1
Niveles de afectación
AmenazasEvento que puede desencadenar un incidente en la
organización, produciendo daños o pérdidas materiales o inmateriales en sus activos.
Top Related