Gestión de Riesgos de TI
Existen diversos modelos orientados a la administración y la gestión de riesgos de TI (Tecnologías de Información), entre los cuales podemos mencionar:
OCTAVE (Operationally Critical Thereat, Asset and Vulnerability Evalution)
Los criterios se basan en los criterios del estándar con enfoque en la práctica y evaluación de la seguridad bsada en la información de riesgos. (Duque, B.,2002).
Este método se centra en:
Identificar los elementos críticos y las amenazas a eso activos.
La identificación de las vulnerabilidades, tanto organizativas y tecnológicas, que exponen a las amenazas, creando un riesgo a la organización.
Diagrama de Riesgos (Cristian, 2011)
El desarrollo de una estrategia basada en la protección y planes para mitigació de riesgos para apoyar la misión de la organización y las prioridades.
El objetivo principal de este modelo es la protección de los activos críticos, equilibrando el proceso de administración de riesgos con los costos operacionales de protección y detención. (Guerrero, M., 2014).
Metodologias Octave
Clases de Metodología Octave
METODOLOGIA DE ANALISIS Y GESTION DE RIESGOS DE LOS SISTEMAS DE INFORMACIÓN (MAGERIT)
Es una metodología establecida por el Ministerio de Administraciones Públicas de España, especializada en riesgos de tecnología de información y comunicación, orientada a generar confianza en la gestión de riesgos y ayudar a una adecuada toma de decisiones. (Guerrero, M, 2014).
Se puede establecer los siguientes objetivos:
Concientizar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.
Ofrcer un método sistemático para analizar los riesgos.
Diagrama de la Metodología Magerit
Metodología Magerit Fases
Preparar a la organización para los procesos de evaluación, auditoria, certificación o acreditación.
Ayudar a descubrir y planificar las medidas oportunas para mitigar los riesgos.
GUIA PARA LA ADMINISTRACION DE RIESGOS EN SISTEMAS Y TECNOLOGIAS DE INFORMACION SP800-30
Es una recomendación del NIST (National Institute f Standars and Technology
Tiene como objetivo principal proporcionar una base para desarrollarun programa de administración de riesgos, proporcionando definiciones y orientaciones prácticas que apoyen los procesos de evaluación y mitigación de riesgos. (Guerrero, M, 2014)
Procesos de análisis de riegos SP800-30
Se pueden plantear de la misma manera los siguientes objetivos:
Asegurar los sistemas que almacenan, procesan o transmiten información de la organización.
Posibilitar la toma de decisiones justificando los gastos en el presupuesto de TI.
Ayudar la administración en la incorporación de los sistemas de TI.
ISO/IEC 27000
Es un conjunto de estandares desarrollados por ISO (International Organization for Standarization) e IEC (Internacional Electrotechinical Commission), que proporciona un marco de gestión de la seguridad de la información utilizable por cualquier organización.
ISO/IEC 27001
Es la norma principal de la serie y contine los requisitos del sistema de gestión de la seguridad de la información.
ISO/IEC 27002
Es una guía de buenas prácticas que describe los objetivos de control y controles recomendados en cuanto a seguridad de la información
Lista de Controles ISO/IEC 27002
ISO/IEC 27003
Ciclo PDCA (Plan, Do, Check, Act)
Esta metodología describe los cuatro pasos esenciales que se deben desarrollar para lograr el mejoramiento de la calidad