Categorias: Todos - 1:

por Miryam Acosta 5 anos atrás

2564

Gestión del Riesgo

Riesgos, Análisis, Controles, Estrategias, Vulnerabilidades, Activos La gestión de riesgos en TI es un proceso esencial que implica identificar amenazas y vulnerabilidades, evaluar su probabilidad y diseñar escenarios de riesgo.

Gestión del Riesgo

Modelos para la Gestión del Riesgo en TI

Imagen 1. Modelos de Gestión Riesgo TI

Referencia QAnewsblog. (30 de 05 de 2019). https://qanewsblog.com/2013/04/16/evaluacion-de-la-seguridad-de-los-sistemas-informaticos-politicas-estandares-y-analisis-de-riesgos/. Obtenido de https://qanewsblog.com/2013/04/16/evaluacion-de-la-seguridad-de-los-sistemas-informaticos-politicas-estandares-y-analisis-de-riesgos/: https://qanewsblog.com/2013/04/16/evaluacion-de-la-seguridad-de-los-sistemas-informaticos-politicas-estandares-y-analisis-de-riesgos/

Herramientas para la Administración de Riesgos

RSA Archer eGRC – Solución software para la administración del gobierno, riesgo y cumplimiento
Diseñar cuadros de mando integral
Recopilar información empresarial específica
Crear grupos y roles para control de accesos
Construir flujos de trabajo para modelar procesos de negocios
Herramientas informáticas para la administración de riesgos
RSA Archer eGRC
Open Pages
Accelus
Oracle GRC
SAP GRC
Catálogo de buenas prácticas de seguridad de OCTAVE
Proporcionar una base para el desarrollo de estrategias de mejora de la seguridad y planes de mitigación del riesgo.
Catálogo de elementos Margerit
Controles
Amenazas
Criterios de valoración
Dimensiones de Valoración
Tipos de activos
Imagen 4. Catálogo de elementos Margerit

Referencias: Secretaria General de Administración Digital. (11 de 05 de 2012). administracionelectronica.gob.es/. Obtenido de administracionelectronica.gob.es/: https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.XPGXY4hKiM8

Adaptar modelos y herramientas de gestión de riesgos para TI
Evaluar riesgos de tecnología de la información

Herramientas para Administración de Riesgos

Modelo para la administración de los riesgos del negocio relacionados con tecnologías de información y de los riesgos de tecnología de información basado en COBIT y VAL IT
Imagen 2. Cobit y la Administración de Riegos.

Referencias:

Solis, M. G. (27 de 05 de 2016). www.auditool.org/blog/auditoria. Obtenido de www.auditool.org/blog/auditoria: https://www.auditool.org/blog/auditoria-de-ti/827-riesgo-tecnologico-su-medicion-como-prioridad-para-el-aseguramiento-del-negocio

Guía para el análisis y tratamiento de riesgos - MEHARI-2010
Estándar australiano de administración de riesgos AS/NZS 4360
Imagen 3. Metodologías de Análisis y Gestión de Riegos

Referencias: Arbesu, L. C. (18 de 07 de 2013). https://es.slideshare.net. Obtenido de https://es.slideshare.net: https://es.slideshare.net/ArandaSoftware/memorias-webcast-introduccion-analisis-y-gestin-de-riesgos

Administración de riesgos de sistemas información - SP800-39
Metodología de análisis y gestión de riesgos de los sistemas de información Magerit
Guía para la administración de riesgos en sistemas y tecnologías de información – SP800-30
evaluación de amenazas críticas operacionales, activos y vulnerabilidades, OCTAVE
Modelos de Administración de Riesgos

Ciclo de Administración de Gestión de Riesgos

Implementación de controles
Fecha de inicio y fecha de finalización
Listado de responsables
Especificación de recursos
Selección de controles
Priorización de acciones
Recomendaciones de control
Descripción del riesgo y su nivel
Estrategias de tratamiento
Especificación de la estrategia de tratamiento
Clasificación de los escenarios de riesgo
Objetivos

Entregar informe

Aceptar el riego

Mitigar el riesgo

Análisis y evaluación de riesgos
Aprobar informe
Presentar el informe de escenarios de riesgos
Diseñar los escenarios de riesgos
Estimar la probabilidad de ocurrencia
Identificar amenazas y vulnerabilidades
Proceso de identificación de activos críticos
Personal
Instalaciones físicas
Servicios subcontratados
Entrono
Servicios internos
Información
Activos esenciales
Ciclo administración de riegos
Evaluación de controles
Valoración de vulnerabilidades
Mitigación de los riesgos
Evaluación de riegos
Análisis de riegos
Administración de Gestión de Riesgos
Propicia procesos de aprendizaje organizacioonak
Asegura la correspondencia de los controles con el plan estratégico organización
Apoya la toma de decisiones
Posibilita a las organizaciones la toma de decisiones y provee la documentación necesaria para el establecimiento de cursos de acción y para propiciar procesos de realimentación y aprendizaje basado en casos