Gestiónn de Riesgo
UN
MARCO REFERENCIA
COMO
COSO
Contiene las principales directivas para la implantación, gestión y control de un sistema de control.
Indentifica los eventos que potencialmente puedan afectar a la entidad y para administrar los riesgos, proveer seguridad, orientada al logro de los objetivos del negocio.
COBIT
Un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso.
Se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes
ENISA
El objetivo de ENISA es mejorar las redes y la seguridad de la información, contribuir al desarrollo de una cultura de red y seguridad de la información
Se describen las buenas prácticas y proporciona información y orientaciones prácticas para la gestión de redes y la información de incidentes de seguridad con énfasis en la gestión de incidentes.
OCTAVE
Es una metodología de análisis de riesgos, en base a tres principios Confidencialidad, Integridad y Disponibilidad.
1. Contempla la evaluación de la organización, se construyen los perfiles activo-amenaza, recogiendo los principales activos, así como las amenazas
2. En la segunda se identifican las vulnerabilidades a nivel de infraestructura de TI.
3. Desarrolla un plan y una estrategia de seguridad, siendo analizados los riesgos en esta fase en base al impacto que puede tener en la misión de la organización.
ISO 31000:2009
Orienta el análisis de riesgos al negocio en su conjunto y establece una metodología que permite unificar los criterios y comparar los diferentes riesgos.
El análisis se realizada desde arriba, desde la perspectiva de los objetivos de la organización. El cumplimiento de estos objetivos y que reflejan los intereses de las partes interesadas, puede verse en peligro por la posible materialización de una serie de riesgos.
NIST Risk Management Framework
Basado en el riesgo para gestionar la ciberseguridad, y está compuesto por tres partes: el núcleo del marco, los niveles de implementación del marco y los perfiles del mismo.
1. Caracterización de Sistema,
2. Identificación de Amenazas,
3. Identificación de Vulnerabilidades,
4. Análisis de Control,
5. Calculo de Probabilidad,
6. Análisis del Impacto,
7. Determinación del Riesgo,
8. Recomendaciones de Control.
9. Documentación de resultados
ES
El proceso de identificar, analizar y responder a factores de riesgo a lo largo de la vida de un proyecto y en beneficio de sus objetivos.
INCLUYE
Prevención
Mitigación
Aceptación
Implica el control de posibles eventos futuros. Además, es proactiva, en lugar de reactiva.
PROPOSITO
Identificar posibles riesgos
Reducir o dividir los riesgos
Toma de decisiones
Planificar