miércoles, 27 de febrero de 2008

METODOLOGIAS DEL ANALISIS DE RIESGO

El proceso de certificación de un Sistema de Gestión de Seguridad de la Información requiere la elaboración de un Análisis de Riesgos como medio de diseñar el Plan de Gestión de Riesgos del sistema, e identificar la aplicabilidad de los controles a implantar en una organización.

Debido a la ausencia de metodologías propias nos encontramos con la duda de qué metodología emplear, debido a sus diferentes funcionalidades, a las herramientas en las que se soporta, a los estándares y normativas a las que da conformidad, la metodología idónea parece ser MAGERIT.


Acontinuacion veremos cuatro objetivos que dispone MAGERIT:

  1. Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.
  2. Ofrecer un método sistemático para analizar tales riesgos.
  3. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.
  4. Apoyar la preparación a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.
No se puede mostrar la imagen “http://upload.wikimedia.org/wikipedia/commons/thumb/3/39/ModeloEspiral.svg/359px-ModeloEspiral.svg.png” porque contiene errores.

El análisis de riesgos propuesto por MAGERIT es una aproximación que permite determinar el riesgo siguiendo unos pasos:
  • Determinar los activos relevantes para la Organización.
  • Determinar a que amenazas están expuestos aquellos activos.
  • Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza.
  • Valorar dichos activos en función del coste que supondría para la Organización recuperarse ante un problema de disponibilidad, integridad, confidencialidad o autenticidad.
  • Valorar las amenazas potenciales.
[1.gif]




Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)