Categories: All - decisiones - activos - controles - mitigación

by armando acosta julio 5 years ago

331

Gestión del Riesgo

La gestión del riesgo en TI implica un ciclo continuo de administración que incluye el análisis de riesgos, la valoración de vulnerabilidades, y la evaluación de controles. Existen varios modelos y guías, como MEHARI-2010 y el estándar australiano AS/

Gestión del Riesgo

Identificación de Activos críticos

Documentar

Subtema
Estructuración de riesgos
Confianza
Análisis sistemático

Controles

Requerimientos para estabilizar situación
Fecha de inicio y finalización
Especificación de recursos
Selección de controles
Priorizar acciones
Recomendaciones
Descripción

Imagen 3. Plan de Gestión del Riegos

Determinar estrategias

Transferir riesgo
Evitar riesgo
Aceptar riesgo
Mitigar riesgos

Analizar y evaluar

Aprobación de informe
Informe escenarios
Escenarios de riesgo
Estimar probabilidad de ocurrencia
Identificar amenazas y vulnerabilidades
Entorno
Equipamiento informático
Servicios internos
Información
Activos esenciales

Modelos para la Gestión del Riesgo en TI

Modelo Evaluación de Amenazas Críticas

Diseñar estrategias de protección
Evaluar riesgos
Analizar interrelaciones
Identificar activos

Modelo para administración de riesgos

Margerit
Preparar a la organización
Ayudar a describir
Ofrecer metodo sisemático
Concienciar a los responsables
COBIT y VAL IT
Guía para el análisis y tratamiento de riesgos ­ MEHARI-2010
Ayudar a la administración
Posibilitar toma de decisiones
Asegurar sistemas de almacenamiento
Estándar australiano de administración de riesgos AS/NZS 4360a
Administración de riesgos en TI SPO839
Monitoreo de riesgos
Respuesta a riegos
Encuadre de riesgos
Metodología de análisis
Guía de administración
Modelo de evaluación

Objetivo: Evaluar riegos de Tecnología de la Información

Imagen 1. esquema norma ISO 31000 para TI

Administración del Riesgos

Imagen 2. esquema norma ISO 31000
Documentación para definir acciones
Toma de decisiones

Ciclo de administración de riesgos

Valoración de vulnerabilidades y evaluación de controles
Mitigación de riesgos
Evaluación de riesgos
Análisis de riesgos