Ciclo de admon

1. Proceso de identificación de activos críticos

2. Proceso de análisis y evaluación de riesgos

3. Proceso para la determinación de estrategias de tratamiento

4. Proceso para la implementación de controles

5. Proceso para la documentación y refinamiento

6. Roles

6.1. Chief Information Officer (CIO)

6.1.1. profesional encargado de la gerencia de las tecnologías y sistemas de información

6.2. Chief Information Security Officer (CISO)

6.2.1. profesional encargado de la seguridad de la información

6.3. Gerente general.

6.3.1. Es un ejecutivo de alto nivel en la organización

6.4. Administrativos

6.4.1. encargados de las dependencias

Herramientas informáticas

1. SAP GRC

1.1. Monitoreo constante de usuarios, accesos y segregación de funciones.

2. Oracle GRC

2.1. Proporciona un repositorio de procesos, riesgos y controles que ayudan a disminuir los costos de cumplimiento.

3. Accelus

3.1. Mitiga riesgos a través de diferentes procesos de auditoría y control interno

4. Open Pages

4.1. Ayuda a reducir las pérdidas y mejora los procesos de negocio debido al manejo de reportes de riesgos estandarizados.

5. RSA Archer eGRC

5.1. Apoya la gestión y automatización de procesos para agilizar el flujo de trabajo de los usuarios

catálogo Octave

3. estructura del catálogo

3.1. Prácticas estratégicas (SP)

3.2. Prácticas operacionales (OP)

2. Es una recopilación de buenas practicas a nives estratégico y operacional

1. Desarrollado por el Software Engineering Institute de la Carnegie Mellon University

Objetivo

1. apoyar el equipo de getión, con un conjunto de herramientas

catálogo Magerit

se basa en

5. Trazabilidad

4. Auntenticidad

1. Disponibilidad

2. Integridad

3. Confidencialidad

Pautas

5. Controles

2. Dimensiones de valoración

3. Criterios de valoración

4. Amenazas

1. Tipos de activos

Imagen tomada de:
http://www.icesi.edu.co/revistas/index.php/sistemas_telematic
a/article/viewFile/1860/2398

Imagen tomada de:
http://www.icesi.edu.co/revistas/index.php/sistemas_telematic
a/article/viewFile/1860/2398

r

Imagen tomada de:http://www.icesi.edu.co/revistas/index.php/sistemas_telematica/article/viewFile/1860/2398

a

Modelos
Admon

OCTAVE

2. modelo de evaluación de riesgos preferido por Estados unidos

1. se define en tres fases

1.1. Fase 1: Generar perfiles de activos basados en la amenaza

1.2. Identificar Las Vulnerabilidades De La Infraestructura

1.3. Fase 3. Estrategia y plan de desarrollo

SP800-30

2. guía para la administración de sistemas y tecnologías de información

1. Define los siguientes procesos

1.1. Caracterización

1.2. Identificación

1.3. Identificación

1.4. Análisis de controles

1.5. Determinación

1.6. Análisis de impacto

1.7. Determinación del riesgo

1.8. Recomendaciones de control

1.9. resultados

MARGERIT

1. El Ministerio de Administraciones Públicas de España promueve

2. Define cuatro fases

1. Fase 1: Planificación

2. Fase 2: Análisis de Riesgo

3. Fase 3: Getión de Riesgo

4. Fase 4: Selección de salvaguardas

SP 800-39

2. recomendación del NIST

1. Define los siguientes procesos

1.1. Encuadre de riesgos

supuestos de riesgos

limitaciones de los riesgos

tolerancia al riesgo

prioridades y compensaciones

1.2. Evaluación de riesgos

identificación de amenazas y vulnerabilidades

determinación del riesgo.

1.3. Respuesta a riesgos

identificación de la respuesta a riesgos

evaluación de alternativas

decisión de la respuesta riesgos

implementación de la respuesta a los riesgos.

1.4. Monitoreo de riesgos

AS/NZS4360

3. propuesta generica para la admon de riesto en todo tipo de empresa.

2. guía australiana

1. Define los siguientes procesos

1.1. Establecer el contexto

Inicia con el establecimiento del contexto organizacional en cuanto a misión, visión, metas y objetivos.

busca establecer el contexto de administración de riesgos, buscando identificar roles, responsabilidades y relaciones

desarrolla criterios de evaluación y define la estructura para la gestión de riesgos.

1.2. Identificar riesgos

busca identificar los eventos que podrían afectar a la organización.

1.3. Analizar riesgos

busca clasificar los riesgos de acuerdo con su causa, su consecuencia y su probabilidad de ocurrencia

El análisis se puede hacer de forma cuantitativa, cualitativa o semi-cuantitativa

1.4. Evaluar riesgos

permite obtener una lista de prioridades de acción, de acuerdo con los riesgos detectados

1.5. Tratar riesgos

identificar opciones de tratamiento de riesgos

evaluar dichas opciones

preparar los planes para su implementación e implementarlos

1.6. Monitoreo y revisión

mantiene actualizado el plan de tratamiento y los eventos que pueden ocasionar riesgos

1.7. Comunicación y consulta

diálogo entre los interesados del proceso de gestión de riesgos

garantizando una adecuada toma de decisiones

MEHARI -2010

4. Esta metodología proporciona una guía de implantación de la seguridad en una entidad a lo largo del ciclo de vida.
Del mismo modo, evalúa riesgos en base a los criterios de disponibilidad, integridad y confidencialidad.

3. objetivos principales

3.1. Realizar un Diagnóstico de Seguridad

3.2. Análisis de los Intereses Implicados por la Seguridad

3.3. Análisis de Riesgos

2. propuesto por el Club Francés de la Seguridad de la Información, CLUSIF

1. Elementos principales

1.1. Niveles de categorías de controles

1.2. Niveles de calidad de los servicios de seguridad

1.3. Evaluación de la calidad del servicio por medio de cuestionarios

1.4. Tabla de modelo de impactos

RISK - TI

3. Propuesto por ISACA

2. Basado en COBIT y VAL IT

1. Define los siguientes procesos

1.1. Gobierno del riesgo

objetivo es asegurar que las prácticas relacionadas con la gestión de riesgos de tecnologías de información sean incorporadas en la organización

1.2. Evaluación del riesgo

objetivo asegurar que los riesgos relacionados con las tecnologías de información sean

identificados

analizados

presentados

1.3. Respuesta al riesgo

objetivo asegurar que la respuesta a los riesgos relacionados con las tecnologías de información represente una oportunidad de mejora

costo-beneficio

prioridades organizacionales