jueves, 2 de junio de 2011

Metodología para Determinar Amenazas de los Activos

Los riesgos de seguridad de información deben ser considerados en el contexto del negocio, y las interrelaciones con otras funciones de negocios, tales como recursos humanos, desarrollo, producción, operaciones, administración, TI, finanzas, etcétera y los clientes deben ser identificados para lograr una imagen global y completa de estos riesgos.
Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad, considerando la probabilidad y la importancia de ocurrencia. Por lo que podemos decir a grandes rasgos que la administración de riesgos es el proceso de identificación, evaluación y toma de decisiones para reducir el riesgo a un nivel aceptable. Entonces, el análisis de riesgo informático se vuelve un elemento importante que forma parte del programa de gestión de continuidad de negocio. En este es necesario identificar si existen controles que ayudan a minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado),
de no existir, la vulnerabilidad será de riesgo no controlado.
Dentro de la evaluación del riesgo es necesario realizar las siguientes acciones: Calcular el impacto en caso que la amenaza se presente, tanto a nivel de riesgo no controlado como el riesgo controlado y evaluar el riesgo de tal forma que se pueda priorizar, esto se realiza de forma cuantitativa (asignando pesos) ó de forma cualitativa (matriz de riesgos). Para esto existe, una gran variedad de metodologías orientadas a identificar, analizar y valorizar o evaluar a los mencionados riesgos, en términos de impacto a los objetivos y/o a la continuidad de negocio. El presente trabajo, trata entonces, de dar a conocer algunas de estas metodologías, sobre todo las más utilizadas.
METODOLOGÍA PARA DETERMINAR LAS AMENAZAS A LOS ACTIVOS
Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles.
Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.
METODOLOGÍAS DE ANÁLISIS DE RIESGOS
                Existe una gran variedad de metodologías, de las cuales veremos las siguientes:
Ø  MAGERIT.- “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información”.
Ø  OCTAVE: “Metodología de Análisis y Gestión de Riesgos”. (Operationally Critical Threat, Asset, and Vulnerability Evaluation)
Ø  Mehari: “Método de Gestión y Análisis de Riesgos desarrollado por CLUSIF” (Club de la Sécurité de l'Information Français). 

Deseas saber más?
DESCARGAR
       

1 comentarios:

Snyp54 dijo...

Pero k buen trabajo... sta muy bn elaborado, dbn cr profesionales muy kapaces... seeeee xD!

oie Admin, ¿komo puedo saber k trabajo le korresponde a k grupo?... tniendo n kuenta k los proximos trabajos, se deben acr kon referencia a estos y buskar ejemplos o aplikaciones k no aian sido presentadas anteriorment...

Publicar un comentario

Twitter Delicious Facebook Digg Stumbleupon Favorites More

 
Design by Free WordPress Themes | Bloggerized by Blogger Templates - Premium Blogger Themes