ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

LA SEGURIDAD, LOS SISTEMAS Y LA METODOLOGÍA DE GESTIÓN DE RIESGOS EN LOS PROGRAMAS INFORMÁTICOS


Enviado por   •  15 de Febrero de 2020  •  Resumen  •  2.674 Palabras (11 Páginas)  •  220 Visitas

Página 1 de 11

Actividades[pic 1]

Actividad: La seguridad, los sistemas y la metodología de gestión de riesgos en los programas informáticos

El examen de ingreso a la empresa Banco Mexicano del Desarrollo consiste en presentar una propuesta que eficiente el involucramiento de todo el personal de la institución hacia la protección de la información del banco.

Por lo tanto, a efecto de ser uno de los primeros diez candidatos para ganar el puesto, debes presentar una estrategia que cubra por lo menos los siguientes puntos:

1. Plazo de implementación: máximo 6 meses.

2. Políticas necesarias.

3. Procesos a realizar.

4. Definición de personas a involucrar.

5. Métrica de evaluación.

El alumno deberá entregar un reporte documental con objetivos, fases, alcances y justificación de la metodología seleccionada.

LA SEGURIDAD, LOS SISTEMAS Y LA

METODOLOGÍA DE GESTIÓN DE RIESGOS EN LOS PROGRAMAS INFORMÁTICOS

CONTENIDO

1.        OBJETIVO        5

2.        ALCANCE        5

3.        DEFINICIONES        5

4.        BASE NORMATIVA Y LEGAL        5

5.        METODOLOGÍA DE EVALUACIÓN – CIS RAM        6

6.        TRATAMIENTO DEL RIESGO – CIS RAM        9

6.2. CRONOGRAMA DE ACTIVIDADES PARA IMPLEMENTACIÓN…………………………………..10

6.3.  MÉTRICA DE EVALUACIÓN……………………………………………………………………………………..14

6.4.  PERSONAS Y ÁREAS A INVOLUCRAR……………………………………………………………………….15

7.        BILBIOGRAFIA        22

  1. OBJETIVO

Definir la metodología que será de evaluación y tratamiento de los riesgos basados en la protección de la información del banco y determinar el nivel aceptable del riesgo según la norma ISO/IEC 27001 y el Método de Evaluación de Riesgos del Centro de Seguridad de Internet (CIS RAM, por sus siglas en ingles)

  1. ALCANCE

El documento establece la metodología para la evaluación de riesgos y la protección de la información del banco., por lo que el acceso a su contenido comprende a los colaboradores de la Gerencia de TI.

  1. DEFINICIONES
  • Activo. Recurso de la organización, cuya indisponibilidad supone un impacto para los intereses del negocio. [1]
  • Amenaza. Es toda acción que puede ser aprovechada al detectar una vulnerabilidad y que podría tener un potencial efecto negativo en los sistemas y la red de control IT/OT. [1]
  • CIS RAM. Centro para el Método de Evaluación de Riesgos de Seguridad de Internet. Es un método de evaluación de riesgos de seguridad de la información que ayuda a las organizaciones a implementar y evaluar su postura de seguridad en relación con las mejores prácticas de ciberseguridad. [2]
  • Controles Críticos de Seguridad. Son un conjunto de acciones prioritarias que brindan protección a la infraestructura crítica, sistemas y redes aplicando mejores prácticas para mitigar los ataques más comunes. [2]
  • Impacto o Consecuencia. Es la materialización de una amenaza como consecuencia de la explotación de una vulnerabilidad.
  • Probabilidad. Es la frecuencia o posibilidad de ocurrencia de un evento de seguridad. [1]
  • Vulnerabilidad. Es una debilidad o brecha que se detecta en los sistemas IT/OT y que suponen un riesgo a la seguridad de la infraestructura tecnológica. [1]

  1. BASE NORMATIVA Y LEGAL
  • Center for internet security. Critical Security Controls “CIS v7.0”.
  • Center for internet security. Risk Assessment Method. “CIS RAM v1.0”.
  • ISO/IEC 27001:2013 Information Technology - Security techniques - Information security management systems - Requirements
  • ISO/IEC 27005:2011 Information technology - Security techniques - Information security risk management.
  • NIST SP 800-30 Rev.1 Risk Management Guide for Information Technology Systems
  • Marco de Riesgos ISACA: Risk IT

  1. METODOLOGÍA DE EVALUACIÓN – CIS RAM

Una de las fases de desarrollo del proyecto de implementación de la propuesta para la protección de la información del fue definir la metodología para evaluar y tratar los riesgos de seguridad y definir el nivel aceptable de riesgo según la norma ISO/IEC 27001 y el método de evaluación de riesgos CIS RAM.

  1. Evaluación del riesgo

La evaluación se enfoca en establecer un nivel de criticidad del riesgo según el cumplimiento a los requisitos para la protección de la información del banco con el fin de priorizar el establecimiento de salvaguardas recomendadas teniendo en cuenta elementos como: activo, amenaza, vulnerabilidad, impacto o consecuencia y probabilidad.

La obtención del valor del riesgo se determina a través de la Probabilidad del Impacto como consecuencia de las amenazas detectadas y su vulnerabilidad.

  1. Criterio de valoración de los Riesgos

CIS RAM emplea un básico criterio de evaluación para el cálculo

...

Descargar como (para miembros actualizados) txt (20 Kb) pdf (280 Kb) docx (68 Kb)
Leer 10 páginas más »
Disponible sólo en Clubensayos.com