Modelos para la Gestión del Riesgo en TI

Ciclo de administración de riesgos

Análisis de riesgos

Evaluación de riesgos

Mitigación de riesgos

Valoración de vulnerabilidades y evaluación de controles

Administración del Riesgos

Toma de decisiones

Documentación para definir acciones

Imagen 2. esquema norma ISO 31000

Imagen 2. esquema norma ISO 31000

Imagen 1. esquema norma ISO 31000 para TI

Imagen 1. esquema norma ISO 31000 para TI

Objetivo: Evaluar riegos de Tecnología de la Información

Modelo para administración de riesgos

Modelo de evaluación

Guía de administración

Metodología de análisis

Administración de riesgos en TI SPO839

Evaluación de riesgos

Encuadre de riesgos

Respuesta a riegos

Monitoreo de riesgos

Estándar australiano de administración de riesgos AS/NZS 4360a

Guía para el análisis y tratamiento de riesgos ­ MEHARI-2010

Asegurar sistemas de almacenamiento

Posibilitar toma de decisiones

Ayudar a la administración

COBIT y VAL IT

Margerit

Concienciar a los responsables

Ofrecer metodo sisemático

Ayudar a describir

Preparar a la organización

Modelo Evaluación de Amenazas Críticas

Identificar activos

Analizar interrelaciones

Evaluar riesgos

Diseñar estrategias de protección

Identificación de Activos críticos

Identificar activos

Activos esenciales

Información

Servicios internos

Equipamiento informático

Entorno

Analizar y evaluar

Identificar amenazas y vulnerabilidades

Estimar probabilidad de ocurrencia

Escenarios de riesgo

Informe escenarios

Aprobación de informe

Determinar estrategias

Mitigar riesgos

Aceptar riesgo

Evitar riesgo

Transferir riesgo

Imagen 3. Plan de Gestión del Riegos

Imagen 3. Plan de Gestión del Riegos

Controles

Descripción

Recomendaciones

Priorizar acciones

Selección de controles

Especificación de recursos

Fecha de inicio y finalización

Requerimientos para estabilizar situación

Documentar

Análisis sistemático

Confianza

Estructuración de riesgos

Subtema