ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Metodología de Riesgo Risk It


Enviado por   •  6 de Febrero de 2023  •  Informe  •  2.163 Palabras (9 Páginas)  •  54 Visitas

Página 1 de 9

[pic 1]

FACULTAD DE INGENIERÍAS INGENIERÍA ELECTRÓNICA

NOMBRES: JÁCOME UMATAMBO SANTIAGO

NOVENO NIVEL GRUPO 2

MENCIÓN: TELECOMUNICACIONES PERÍODO 54

FECHA: 03/07/2019

  1. TEMA: Metodología de Riesgo Risk It

  2. OBJETIVO

  • Consolidar los conocimientos fundamentales sobre las metodologías y/o marcos de trabajo para realizar Análisis de riesgos.

  1. MARCO TEÓRICO

  1. ¿QUÉ ES Y POR QUÉ HACER UN ANÁLISIS DE RIESGOS?

Como parte del Sistema de Gestión de Seguridad de la Información, es necesario para la empresa hacer una adecuada gestión de riesgos que le permita saber cuáles son las principales vulnerabilidades de sus activos de información y cuáles son las amenazas que podrían explotar las vulnerabilidades.

Son muchas las metodologías utilizadas para la gestión de riesgos, pero todas parten de un punto común: la identificación de activos de información, es decir todos aquellos recursos involucrados en la gestión de la información, que va desde datos y hardware hasta documentos escritos y el recurso humano. Sobre estos activos de información es que hace la identificación de las amenazas o riesgos y las vulnerabilidades [1]

  1. EJEMPLO DE ANÁLISIS DE RIESGO REALIZADA POR SEI (Software Engineering Institute)

  1. ESTABLECER CRITERIOS DE MEDICIÓN DEL RIESGO

El primer paso consiste en definir criterios que permitan conocer la postura de la organización en cuanto a su propensión a los riesgos. Se trata de la base para la evaluación, ya que sin esta actividad no se puede medir el grado en el que la organización se ve afectada cuando se materializa una amenaza.

El método establece la creación de un conjunto de criterios cualitativos con las cuales se podrá evaluar el efecto del riesgo contra la misión y objetivos de la organización en 5 categorías:

  • Reputación/confianza del cliente
  • Financiera
  • Productividad
  • Seguridad/salud
  • Multas/penas legales

Para cada criterio se deben generar áreas de impacto, es decir, condiciones de cómo la organización se verá afectada por algún incidente de seguridad. El impacto puede ser alto, medio o bajo, y esto deberá ser definido por el personal encargado de generar los criterios de medición del riesgo. [2]

[pic 2]

Fig. 1: Ejemplo de área de impacto para criterios de reputación y confianza del cliente. [2]

  1. DESARROLLAR UN PERFIL DE ACTIVOS DE INFORMACIÓN

La evaluación de riesgos que se desarrolla, se enfoca en los activos de información, es decir, los conocimientos o datos que tienen valor para la organización. Se documentan las razones por la cuales se eligen y además se debe realizar una descripción de los mismos, también, se debe asignar un custodio a cada uno de estos activos de información. [2]

  1. IDENTIFICAR        CONTENEDORES        DE        ACTIVOS        DE INFORMACIÓN

En el tercer paso se identifican los contenedores, es decir, los repositorios donde se almacena esta información, ya que son los sitios en donde suelen llevarse a cabo los ataques contra los datos. [2]

  1. IDENTIFICAR ÁREAS DE PREOCUPACIÓN

En este paso se inicia el proceso del desarrollo de perfiles de riesgo para los activos de información, resultado de la combinación de la posibilidad de materialización de una amenaza (probabilidad) y sus consecuencias (impacto). [2]

  1. IDENTIFICAR ESCENARIOS DE AMENAZA

En el quinto paso las áreas de preocupación son extendidas a escenarios de amenaza, lo que significa la identificación de otras preocupaciones para la organización que están relacionadas con sus activos de información críticos y que no son visibles a primera vista, otra manera de identificar condiciones de riesgo es a través de árboles de amenaza. [2]

[pic 3]

Fig. 2: Árbol de amenazas [2]

  1. IDENTIFICAR RIESGOS

Se determina el impacto a la organización si se realiza un escenario de amenaza descrito en los pasos 4 y 5, a través de los enunciados de impacto, la descripción detallada de la manera en que se ve afectada la organización. [2]

  1. ANALIZAR RIESGOS

En este paso se mide de forma cualitativa el grado en el que la organización es afectada por una amenaza y se calcula una puntuación para cada riesgo de cada activo de información. [2]

[pic 4]

Fig. 3: Escenario de Amenazas [2]

  1. SELECCIONAR UN ENFOQUE DE MITIGACIÓN

En el último paso, se deben determinar las opciones de tratamiento de riesgos con base en los resultados del análisis, es decir, utilizando los valores de impacto y probabilidad calculados en los pasos anteriores. Este criterio puede variar de una organización a otra, pero en general. [2]

[pic 5]

Fig. 4: Matriz de Riesgo Relativo [2]

  1. RISKIT

El Riesgo de TI (Risk TI) es el riesgo de negocio asociado con el uso, propiedad, operación, involucramiento, influencia y adopción de la TI dentro de la empresa.

Risk IT pretende ser una herramienta práctica para la gestión de riesgos basado en los conceptos de valor y beneficios que la organización obtiene a través de sus iniciativas de TI. Al igual que CobIT y Val IT, Risk IT se concentra en el cumplimiento de los objetivos de la organización. Risk

IT tiene como fin gestionar los riesgos relacionados con la no obtención de ese valor / beneficios, así como los riesgos de no aprovechar las oportunidades y beneficios que una iniciativa de TI. Risk IT se apoya en el marco de COBIT mundialmente reconocido para la administración en este caso de las TI de ISACA, para brindar un vínculo que faltaba entre la gestión de riesgos corporativos convencionales y la gestión y el control de riesgos de TI.

...

Descargar como (para miembros actualizados) txt (12 Kb) pdf (255 Kb) docx (330 Kb)
Leer 8 páginas más »
Leer documento completo Guardar
Disponible sólo en Clubensayos.com