No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Evaluación del Riesgo

9/19
Recursos

Aportes 6

Preguntas 0

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Añadir la frecuencia o la probabilidad de ocurrencia. Hay dos tipos de metodologías: * Cuantitativas → Magerit. * Cualitativas → NIST, 800-30. Expresa el riesgo en niveles alto, medio o bajo. 1. Definir alcance y objetivos. 2. Identificar los activos. Un inventario detallado de activos, accesos, descubrimiento y control de inventarios. Categorización por activo. Categorización FIPS 199 del NIST → Confidencialidad, Integridad, Disponibilidad, Marca de agua. 3. Identificar vulnerabilidades y amenazas. 4. Evaluar medidas de control. 5. Determinar la probabilidad y el impacto. 6. Calcular el Riesgo. Impacto por probabilidad de ocurrencia. 7. Identificar opciones de tratamiento. 8. Documentación y reporte. Con suficiente detalle. 9. Implementación de medidas. Proyecto o plan de acción.
## Evaluación del Riesgo: Metodologías y Pasos Claves **Metodologías:** **Cuantitativas:** * **Magerit:** Es una metodología española que permite calcular el riesgo de forma matemática. * **FAIR:** Es una metodología internacional que se basa en el análisis del impacto financiero del riesgo. **Cualitativas:** * **NIST 800-30:** Es una metodología estadounidense que expresa el riesgo en niveles alto, medio o bajo. * **ISO 27005:** Es una norma internacional que proporciona una guía para la gestión del riesgo. **Pasos Claves:** **1. Definir alcance y objetivos:** * **Alcance:** El alcance de la evaluación del riesgo debe ser definido claramente. Esto incluye identificar los activos, sistemas y procesos que serán evaluados. * **Objetivos:** Los objetivos de la evaluación del riesgo deben ser específicos, medibles, alcanzables, relevantes y con un plazo de tiempo definido. **2. Identificar los activos:** * **Inventario:** Se debe realizar un inventario detallado de todos los activos de la organización, incluyendo hardware, software, datos e información. * **Accesos:** Se deben identificar los accesos a los activos, tanto físicos como lógicos. * **Descubrimiento:** Se deben realizar actividades de descubrimiento para identificar activos que no se encuentran en el inventario. * **Control de inventarios:** Se debe implementar un sistema de control de inventarios para mantener actualizado el inventario de activos. * **Categorización:** Se deben categorizar los activos por su importancia y criticidad para la organización. Se puede utilizar la categorización FIPS 199 del NIST, que se basa en la confidencialidad, integridad y disponibilidad de los activos. **3. Identificar vulnerabilidades y amenazas:** * **Vulnerabilidades:** Se deben identificar las vulnerabilidades de los activos, tanto internas como externas. * **Amenazas:** Se deben identificar las amenazas que pueden afectar a los activos, tanto naturales como intencionales. **4. Evaluar medidas de control:** * Se deben evaluar las medidas de control existentes para mitigar el riesgo. * Se debe evaluar la eficacia de las medidas de control. **5. Determinar la probabilidad y el impacto:** * **Probabilidad:** Se debe determinar la probabilidad de que ocurra una amenaza. * **Impacto:** Se debe determinar el impacto que una amenaza podría tener en un activo. **6. Calcular el Riesgo:** * El riesgo se calcula multiplicando la probabilidad por el impacto. **7. Identificar opciones de tratamiento:** * Se deben identificar opciones para tratar el riesgo, como aceptar el riesgo, mitigar el riesgo o transferir el riesgo. **8. Documentación y reporte:** * La evaluación del riesgo debe ser documentada y reportada de forma clara y concisa. * El reporte debe incluir suficiente detalle para que la gerencia pueda tomar decisiones informadas sobre el riesgo. **9. Implementación de medidas:** * Se deben implementar las medidas de tratamiento del riesgo que se hayan seleccionado. * Se debe realizar un seguimiento de la eficacia de las medidas de tratamiento del riesgo.
# 1. Evaluación de riesgo 1.1. ¿Qué se entiende por riesgo? La posibilidad de que una amenaza explote una vulnerabilidad, causando un impacto negativo. Hay dos tipos de metodología: · Cuantitativas: Expresan los riesgos en términos monetarios · Cualitativas: En la familia ISO 27000 existe una norma solo para evaluar riesgos. NIST, 800-30 Expresa el riesgo en términos de impacto alto, medio o bajo. 1.2. Pasos para la evaluación de riesgos: 1.2.1. Definir el alcance y objetivos Se toman en cuenta algunos procesos de la organización, al hacer una evaluación de riesgo de toda la organización se requiere hacer una priorización y entender como los procesos se conectan entre ellos de tal forma que podamos evaluarlos. 1.3. Identificar los activos Da referencia a crear un inventario de todo el: · Hardware · Software · Versiones más físicos: · Cuáles son las entradas · Cuáles son las salidas · Quién puede entrar por cual puerta · Quién tiene acceso 1.3.1. Identificar amenazas y vulnerabilidad Cual seria el nivel de vulnerabilidad que tienen estos activos. Cunado se tiene el inventario de estos activos, se evalúa el impacto de verse comprometida la confidencialidad, integridad y disponibilidad por activo. El activo puede ser un sistema, un dato, pero esto es relevante porque un dominio es un activo, sin embargo, un dominio incluye varios sistemas. 1.4. Evaluar medidas de control Nos ayuda a ser más precisos en el análisis del sistema a nivel de impacto. 1.5. Determinar la probabilidad y el impacto Se requiere de reportes de seguridad, para comprender la frecuencia y la exposición de los activos son atacadas. 1.6. Calcular el riesgo 1.7. Identificar opciones de tratamiento 1.8. Documentación y reporte. 1.9. Implementar medidas de mitigación
Mu cierto, la metodología de gestión de Riesgo se adopta de acuerdo a la organización. La ISO no exige que deba ser con alguna metoldogía.
Encuentro muy parecido la gestion de los riesgos como lo hace el PMI en su proceso para certificación del PMP
Gracias