Categorías: Todo - activos - seguridad - información - metodologías

por Carlos Eduardo Puentes F hace 10 años

1191

Gestión de Riesgos de TI

La gestión de riesgos en tecnologías de la información (TI) implica diversas metodologías que requieren la participación activa de todos los involucrados para salvaguardar la información de una organización.

Gestión de Riesgos de TI

Gestión de Riesgos

CONCLUSIONES

Toda organización u empresa cuenta con activos que son los elementos más importantes y sobre los cuales se encuentra soportado el progreso de la misma. De esta manera es indispensable preservarlos.

Las metodologías igualmente van directamente ligadas a las políticas de seguridad corporativa que se tengan.

Se puede concluir que pueden existir multiples metodologías para el desarrollo de una correcta gestión de riesgos de TI, pero lo más importante en toda metodología es la participación activa de todas las personas involucradas en los salvaguardar la información de la organización u empresa.

Gestión de Riesgos Metodologias

Gestión de Riesgos de TI

Existen diversos modelos orientados a la administración y la gestión de riesgos de TI (Tecnologías de Información), entre los cuales podemos mencionar:

ISO/IEC 27000
Es un conjunto de estandares desarrollados por ISO (International Organization for Standarization) e IEC (Internacional Electrotechinical Commission), que proporciona un marco de gestión de la seguridad de la información utilizable por cualquier organización.

ISO/IEC 27003

Ciclo PDCA (Plan, Do, Check, Act)

Esta metodología describe los cuatro pasos esenciales que se deben desarrollar para lograr el mejoramiento de la calidad

ISO/IEC 27002

Es una guía de buenas prácticas que describe los objetivos de control y controles recomendados en cuanto a seguridad de la información

Lista de Controles ISO/IEC 27002

ISO/IEC 27001

Es la norma principal de la serie y contine los requisitos del sistema de gestión de la seguridad de la información.

GUIA PARA LA ADMINISTRACION DE RIESGOS EN SISTEMAS Y TECNOLOGIAS DE INFORMACION SP800-30
Se pueden plantear de la misma manera los siguientes objetivos:

Ayudar la administración en la incorporación de los sistemas de TI.

Posibilitar la toma de decisiones justificando los gastos en el presupuesto de TI.

Asegurar los sistemas que almacenan, procesan o transmiten información de la organización.

Tiene como objetivo principal proporcionar una base para desarrollarun programa de administración de riesgos, proporcionando definiciones y orientaciones prácticas que apoyen los procesos de evaluación y mitigación de riesgos. (Guerrero, M, 2014)

Procesos de análisis de riegos SP800-30

Es una recomendación del NIST (National Institute f Standars and Technology
METODOLOGIA DE ANALISIS Y GESTION DE RIESGOS DE LOS SISTEMAS DE INFORMACIÓN (MAGERIT)
Se puede establecer los siguientes objetivos:

Ayudar a descubrir y planificar las medidas oportunas para mitigar los riesgos.

Preparar a la organización para los procesos de evaluación, auditoria, certificación o acreditación.

Ofrcer un método sistemático para analizar los riesgos.

Metodología Magerit Fases

Diagrama de la Metodología Magerit

Concientizar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.

Es una metodología establecida por el Ministerio de Administraciones Públicas de España, especializada en riesgos de tecnología de información y comunicación, orientada a generar confianza en la gestión de riesgos y ayudar a una adecuada toma de decisiones. (Guerrero, M, 2014).
OCTAVE (Operationally Critical Thereat, Asset and Vulnerability Evalution)
El objetivo principal de este modelo es la protección de los activos críticos, equilibrando el proceso de administración de riesgos con los costos operacionales de protección y detención. (Guerrero, M., 2014).

Metodologias Octave

Clases de Metodología Octave

Los criterios se basan en los criterios del estándar con enfoque en la práctica y evaluación de la seguridad bsada en la información de riesgos. (Duque, B.,2002).

Este método se centra en:

El desarrollo de una estrategia basada en la protección y planes para mitigació de riesgos para apoyar la misión de la organización y las prioridades.

La identificación de las vulnerabilidades, tanto organizativas y tecnológicas, que exponen a las amenazas, creando un riesgo a la organización.

Diagrama de Riesgos (Cristian, 2011)

Identificar los elementos críticos y las amenazas a eso activos.