Modelos para la Gestión del Riesgo en TI
Imagen 1. Modelos de Gestión Riesgo TI
Referencia QAnewsblog. (30 de 05 de 2019). https://qanewsblog.com/2013/04/16/evaluacion-de-la-seguridad-de-los-sistemas-informaticos-politicas-estandares-y-analisis-de-riesgos/. Obtenido de https://qanewsblog.com/2013/04/16/evaluacion-de-la-seguridad-de-los-sistemas-informaticos-politicas-estandares-y-analisis-de-riesgos/: https://qanewsblog.com/2013/04/16/evaluacion-de-la-seguridad-de-los-sistemas-informaticos-politicas-estandares-y-analisis-de-riesgos/
Herramientas para la Administración de Riesgos
RSA Archer eGRC – Solución software para la administración del gobierno, riesgo y cumplimiento
Diseñar cuadros de mando integral
Recopilar información empresarial específica
Crear grupos y roles para control de accesos
Construir flujos de trabajo para modelar procesos de negocios
Herramientas informáticas para la administración de riesgos
RSA Archer eGRC
Open Pages
Accelus
Oracle GRC
SAP GRC
Catálogo de buenas prácticas de seguridad de OCTAVE
Proporcionar una base para el desarrollo de estrategias de mejora de la seguridad y planes de mitigación del riesgo.
Catálogo de elementos Margerit
Controles
Amenazas
Criterios de valoración
Dimensiones de Valoración
Tipos de activos
Imagen 4. Catálogo de elementos Margerit
Referencias: Secretaria General de Administración Digital. (11 de 05 de 2012). administracionelectronica.gob.es/. Obtenido de administracionelectronica.gob.es/: https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.XPGXY4hKiM8
Adaptar modelos y herramientas de gestión de riesgos para TI
Evaluar riesgos de tecnología de la información
Herramientas para Administración de Riesgos
Modelo para la administración de los riesgos del negocio relacionados con tecnologías de información y de los riesgos de tecnología de información basado en COBIT y VAL IT
Imagen 2. Cobit y la Administración de Riegos.
Referencias:
Solis, M. G. (27 de 05 de 2016). www.auditool.org/blog/auditoria. Obtenido de www.auditool.org/blog/auditoria: https://www.auditool.org/blog/auditoria-de-ti/827-riesgo-tecnologico-su-medicion-como-prioridad-para-el-aseguramiento-del-negocio
Guía para el análisis y tratamiento de riesgos - MEHARI-2010
Estándar australiano de administración de riesgos AS/NZS 4360
Imagen 3. Metodologías de Análisis y Gestión de Riegos
Referencias: Arbesu, L. C. (18 de 07 de 2013). https://es.slideshare.net. Obtenido de https://es.slideshare.net: https://es.slideshare.net/ArandaSoftware/memorias-webcast-introduccion-analisis-y-gestin-de-riesgos
Administración de riesgos de sistemas información - SP800-39
Metodología de análisis y gestión de riesgos de los sistemas de información Magerit
Guía para la administración de riesgos en sistemas y tecnologías de información – SP800-30
evaluación de amenazas críticas operacionales, activos y vulnerabilidades, OCTAVE
Modelos de Administración de Riesgos
Ciclo de Administración de Gestión de Riesgos
Implementación de controles
Fecha de inicio y fecha de finalización
Listado de responsables
Especificación de recursos
Selección de controles
Priorización de acciones
Recomendaciones de control
Descripción del riesgo y su nivel
Estrategias de tratamiento
Especificación de la estrategia de tratamiento
Clasificación de los escenarios de riesgo
Objetivos
Entregar informe
Aceptar el riego
Mitigar el riesgo
Análisis y evaluación de riesgos
Aprobar informe
Presentar el informe de escenarios de riesgos
Diseñar los escenarios de riesgos
Estimar la probabilidad de ocurrencia
Identificar amenazas y vulnerabilidades
Proceso de identificación de activos críticos
Personal
Instalaciones físicas
Servicios subcontratados
Entrono
Servicios internos
Información
Activos esenciales
Ciclo administración de riegos
Evaluación de controles
Valoración de vulnerabilidades
Mitigación de los riesgos
Evaluación de riegos
Análisis de riegos
Administración de Gestión de Riesgos
Propicia procesos de aprendizaje organizacioonak
Asegura la correspondencia de los controles con el plan estratégico organización
Apoya la toma de decisiones
Posibilita a las organizaciones la toma de decisiones y provee la documentación necesaria para el establecimiento de cursos de acción y para propiciar procesos de realimentación y aprendizaje basado en casos
