Académique Documents
Professionnel Documents
Culture Documents
ORDEN
DEL
DA
Aplicacin
Inicial
del
SGSI
en
la
Organizacin
Modelos
Formales
para
la
Ges<n
de
Riesgos
Norma
ISO/IEC
para
la
Ges<n
de
Riesgos
15 Cumplimiento 8 Seguridad de los Recursos Humanos 10 Gestin de las Comunicaciones y de las Operaciones
Seguridad Organizacional Seguridad Fsica Seguridad Lgica
BRECHA ORGANIZACIONAL
Operacin Gestin:
- Negocios - Planeacin - Presupuesto - Comunicaciones - Administracin de Sistemas - Soporte redes
Tctico:
- Entender ideales - Entender necesidades - Entender realidades - Ayudar a que se haga relidad
EN LA PRCTICA ES .
q Implementacin de un estndar.
QU
ES
UN
ESTNDAR?
q Rae (Real Academia Espaola) define estndar como: Que sirve como tipo, modelo, norma, patrn o referencia. Tipo, modelo, patrn, nivel.
En terminos orientados a la gestin de riesgos es un lineamiento de caracter interno, nacional o internacional con el que se debe cumplir para garantizar una tratamiento adecuado de los mismos.
Estndar Australiano desarrollado por el gobierno de este pas orientado a la gestin de riesgos indiferente de su tipo o nivel de clasificacin. NTC 5254:2006
Esta norma supone una gua para la gesEn de riesgos de seguridad de la informacin, de acuerdo con los principios ya denidos en otras normas de la serie 27000. ISO/IEC 31000:2009 lEmo lineamiento emanado por ISO con el cual se dan directrices para la gesEn de riesgos en una organizacin.
QU
ES
UNA
METODOLOGA?
q RAE (Real Academia Espaola) define metodologa como: Ciencia del mtodo. Conjunto de mtodos que se siguen en una investigacin cientfica o en una exposicin doctrinal.
En terminos orientados a la gestin de riesgos es un lineamiento de carcter interno, nacional o internacional el cual ayuda el como cumplir con los lineamientos dados para garantizar una tratamiento adecuado de los mismos. A diferencia del estndar es importante escoger una metodologa que entienda los activos de informacin.
*(CCTA Risk Analysis and Management Method,) metodologa, herramienta de anlisis y gestin de riesgos desarrollada por la "Central Computer and Telecommunications Agency" del Reino Unido y gestionada por "Insight Consulting Limited" (Grupo Siemens). Existe en versin Expert y Express, incluye software y no es gratuita.
*Information Risk Analysis Methodologies es una metodologa de anlisis de riesgos del Information Security Forum slo disponible para sus miembros.
*Operationally Critical Threat, Asset, and Vulnerability Evaluation, metodologa de evaluacin de riesgos desarrollada por el Software Engineering Institute (SEI) de la Carnegie Mellon University.
Define que se debe desarrollar la poltica de gestin del riesgo organizacional. Orientada a cualquier tipo de riesgo (estratgicos, de asignacin de recursos, de negocio u operacionales, del entorno). ltima norma internacional que regula la gestin de riesgos. Norma de mayor acogida a nivel mundial para la gestin de riesgos.
Diseada para tratar los riesgos de seguridad de la informacin. Su estructura metodolgica esta orientada a cumplir con lineamientos ISO. Metodologa de carcter libre no vinculada a un producto tecnolgico en particular. Metodologa de mayor acogida a nivel mundial para la gestin de riesgos de seguridad de la informacin.
INTRODUCCIN
Las organizaciones de todo tipo y tamao cuentan con factores internos y externos que las influencian y generan incertidumbre que afectan el cumplimiento de sus objetivos. Todas las actividades o procesos de la organizacin involucran riesgos. Por ende las organizaciones deben gestionar riesgos para identificarlos, analizarlos, evaluarlos para que este sea modificado y satisfacer as su apetito al riesgo. Mientras las organizaciones administran sus riesgos de alguna manera, este lineamiento internacional establece un nmero de principios que deben ser cumplidos para asegurar una gestin efectiva de los mismos.
INTRODUCCIN
q Al implementar y mantener este lineamiento internacional, la gestin de riesgos posibilita a la organizacin lograr entre otras cosas, lo siguiente: Incrementar la probabilidad de lograr sus objetivos. Fomentar una gestin proactiva. Fomentar la conciencia de identificar y tratar riesgos de manera transversal en la organizacin. Mejorar la identificacin de las oportunidades y las amenazas. Mejorar la gobernabilidad total del negocio.
INTRODUCCIN
1
ALCANCE
q Este estndar internacional provee principios y guas genricos orientadas a la gestin del riesgo. Puede ser usado por cualquier empresa, pblica, privada, asociacin, grupo o individuo. Aplica a toda industria o sector. Puede ser aplicado a travs del ciclo de vida de la organizacin, teniendo en cuenta actividades, estrategias y decisiones, operaciones, procesos, funciones, proyectos, productos, servicios y activos.
3
TERMINOS
Y
DEFINICIONES
Riesgo. Gestin del riesgo. Marco referencial para la gestin del riesgo. Poltica de gestin de riesgo. Actitud ante el riesgo. Plan para la gestin del riesgo.
3
TERMINOS
Y
DEFINICIONES
Propietario del riesgo. Proceso de gestin de riesgo. Establecimiento del contexto. Contexto externo. Contexto interno. Comunicacin y consulta.
3 TERMINOS Y DEFINICIONES
Partes interesadas. Evaluacin del riesgo. Identificacin del riesgo. Recurso del riesgo. Evento. Consecuencia.
3
TERMINOS
Y
DEFINICIONES
Probabilidad. Perfl del riesgo. Anlisis del riesgo. Crterios de riesgo. Nivel de riesgo. Evaluacin del riesgo.
3 TERMINOS Y DEFINICIONES
REA DE ENFOQUE