7003627
Description
Mind Map by Edison Rey, updated more than 1 year ago
|
Created by Edison Rey
over 7 years ago
|
|
METODOLOGIAS DE GESTION DE
RIESGOS (OCTAVE, MAGERIT,
DAFP)
- Metodologías de
Gestión de Riesgos
- DEFINICIÓN DE RIESGO: El riesgo indica lo
que le podría pasar a los activos si no se
protegieran adecuadamente
- ANÁLISIS DE RIESGO: Proceso sistemático
para estimar la magnitud de los riesgos a
que está expuesta una organización.
- GESTIÓN DE RIESGO: Selección e
implantación de salvaguardas para
conocer, prevenir, impedir, reducir
o controlar los riesgos identificados.
- ANÁLISIS Y GESTIÓN: El análisis de riesgos
permite determinar cómo es, cuánto vale y
cómo de protegidos se encuentran los
activos. y la Gestión es permiten elaborar un
plan de seguridad que, implantado y
operado, satisfaga los objetivos propuestos
con el nivel de riesgo que se acepta
- INCIDENCIAS Y RECUPERACIÓN: Cuando se
produce una incidencia, el tiempo empieza a
correr en contra del sistema y la madurez de una
organización se refleja en la pulcritud y realismo
de su modelo de valor y, consecuentemente, en
la idoneidad de las salvaguardas de todo tipo,
desde medidas técnicas hasta una óptima
organización.
- DEFINICIÓN DE RIESGO: El riesgo indica lo
que le podría pasar a los activos si no se
protegieran adecuadamente
- OCTAVE
- Es una técnica de
planificación y
consultoría
estratégica en
seguridad basada
en el riesgo.
- DESCRIPCIÓN GENERAL: Hay tres
métodos OCTAVE y e basan en los
criterios del estándar con un enfoque
en la práctica y evaluación de la
seguridad basada en la información
de riesgo estableciendo así los
principios fundamentales y los
atributos de gestión de riesgos de
este método
- MÉTODO OCTAVE-S: desarrollado para
organizaciones pequeñas alrededor de
100 personas o menos utilizando un
proceso simplificado del OCTAVE y más
hojas de trabajo diferentes, pero
produce el mismo tipo de resultados.
Las dos principales diferencias son:
- 1. Octave-S requiere un pequeño equipo de
3-5 personas que entienden la amplitud y
profundidad de la empresa
- 2. Octave-S incluye sólo una exploración
limitada de la infraestructura informática
- 1. Octave-S requiere un pequeño equipo de
3-5 personas que entienden la amplitud y
profundidad de la empresa
- MÉTODO OCTAVE ALLEGRO: Es una variante simplificada
del método de Octave que se centra en los activos de la
información, es muy apropiado para las personas que
desean realizar la evaluación de riesgo sin una amplia
participación de la organización o experiencia. Consta de
ocho pasos organizados en cuatro fases:
- Fase 1 - Evaluación de los participantes
desarrollando criterios de medición del
riesgo con las directrices de la
organización
- Fase 2 – Cada uno de los participantes
crean un perfil de los activos críticos
de información
- Fase 3 - Los participantes identifican las
amenazas a la información de cada activo
en el contexto de sus contenedores.
- Fase 4 - Los participantes identifican y
analizan los riesgos para los activos de
información y empiezan a desarrollar
planes de mitigación.
- Fase 1 - Evaluación de los participantes
desarrollando criterios de medición del
riesgo con las directrices de la
organización
- MÉTODO OCTAVE-S: desarrollado para
organizaciones pequeñas alrededor de
100 personas o menos utilizando un
proceso simplificado del OCTAVE y más
hojas de trabajo diferentes, pero
produce el mismo tipo de resultados.
Las dos principales diferencias son:
- OCTAVE: fue desarrollado teniendo en cuenta
grandes organizaciones de 300 ó más empleados.
El método utiliza una ejecución en tres fases que
examina las cuestiones organizacionales y
tecnológicas, monta una visión clara de la
organización y sus necesidades de información y
seguridad de la misma, centrándose en:
- - Identificar los elementos
críticos y las amenazas a
esos activos
- - La identificación de las vulnerabilidades,
tanto organizativas y tecnológicas, que
exponen a las amenazas, creando un
riesgo a la organización.
- El desarrollo de una estrategia basada en la
protección de prácticas y planes de
mitigación de riesgos para apoyar la misión
de la organización y las prioridades.
- - Identificar los elementos
críticos y las amenazas a
esos activos
- IMPLEMENTACIÓN
- CARACTERÍSTICAS Y VENTAJAS: Es dirigido
a equipos pequeños de trabajo a través
de las unidades de negocio y de TI de la
organización, Cada método se puede
adaptar a una organización en un único
entorno de riesgo, la seguridad,
resistencia a los objetivos y el nivel de
habilidad.
- FASES
- VSAN: Valoración de Seguridad de Alto Nivel.
- VSA: Valoración de Seguridad de Aplicaciones.
- VSR: Valoración de Seguridad de Redes.
- VSS: Valoración de Seguridad de Servidores.
- VST: Valoración de Seguridad de
Telecomunicaciones
- VSAN: Valoración de Seguridad de Alto Nivel.
- DESCRIPCIÓN GENERAL: Hay tres
métodos OCTAVE y e basan en los
criterios del estándar con un enfoque
en la práctica y evaluación de la
seguridad basada en la información
de riesgo estableciendo así los
principios fundamentales y los
atributos de gestión de riesgos de
este método
- Es una técnica de
planificación y
consultoría
estratégica en
seguridad basada
en el riesgo.
- MAGERIT
- Magerit es la metodología de análisis y
gestión de riesgos elaborada por el Consejo
Superior de Administración Electrónica, está
directamente relacionada con la
generalización del uso de las tecnologías de
la información, que supone unos beneficios
evidentes para los usuarios; pero también
da lugar a ciertos riesgos que deben
minimizarse con medidas de seguridad que
generen confianza y permitirá saber cuánto
valor está en juego y les ayudará a
protegerlo
- DESCRIPCIÓN GENERAL DE MAGERIT: Concientizar a
los responsables de los sistemas de información de la
existencia de riesgos y de la necesidad de atajarlos a
tiempo.
- ORGANIZACIÓN DE LAS GUÍAS: se ha estructurado en
tres libros: “El Método”, un "Catálogo de Elementos" y
una "Guía de Técnicas"
- EVALUACIÓN, CERTIFICACIÓN, AUDITORÍA Y ACREDITACIÓN:
El análisis de riesgos es una piedra angular de los procesos
de evaluación, certificación, auditoría y acreditación que
formalizan la confianza que merece un sistema de
información.
- DESCRIPCIÓN GENERAL DE MAGERIT: Concientizar a
los responsables de los sistemas de información de la
existencia de riesgos y de la necesidad de atajarlos a
tiempo.
- Magerit es la metodología de análisis y
gestión de riesgos elaborada por el Consejo
Superior de Administración Electrónica, está
directamente relacionada con la
generalización del uso de las tecnologías de
la información, que supone unos beneficios
evidentes para los usuarios; pero también
da lugar a ciertos riesgos que deben
minimizarse con medidas de seguridad que
generen confianza y permitirá saber cuánto
valor está en juego y les ayudará a
protegerlo
- COMPARATIVO CON
COBIT
- COBIT en su proceso PO9 "Evaluar y Administrar los Riesgos de IT",
recomienda "Crear y dar mantenimiento a un marco de trabajo de
administración de riesgos". MAGERIT es una metodología desarrollada
en España por el Ministerio de Administraciones Públicas, que estudia
los riesgos soportados por los Sistemas de Información para
recomendar aquellas medidas más encaminadas a controlar su
impacto.
- COBIT en su proceso PO9 "Evaluar y Administrar los Riesgos de IT",
recomienda "Crear y dar mantenimiento a un marco de trabajo de
administración de riesgos". MAGERIT es una metodología desarrollada
en España por el Ministerio de Administraciones Públicas, que estudia
los riesgos soportados por los Sistemas de Información para
recomendar aquellas medidas más encaminadas a controlar su
impacto.
- DAFP
- las entidades de la
Administración
Pública no pueden
ser ajenas al tema
de los riesgos y
deben buscar
cómo manejarlos
y controlarlos.
- HISTORIA Y EVOLUCIÓN: A través del Decreto 1599
del 20 de mayo del 2005 se adoptó el Modelo
Estándar de Control Interno para todas las
entidades del Estado de las que habla el artículo
5º de la Ley 87 de 1993
- OBJETIVOS DE DAFP: Fortalecer la implementación y
desarrollo de la política de la administración del riesgo a
través del adecuado tratamiento de los riesgos para
garantizar el cumplimiento de la misión y objetivos
institucionales de las entidades de la Administración
Pública. Asegurar el cumplimiento de normas, leyes y
regulaciones.
- MARCO CONCEPTUAL: La Administración
Pública, al ocuparse de los fenómenos de
organización y gestión, no puede ser ajena
a las herramientas disponibles y a las
nuevas tendencias en administración
- METODOLOGÍA: Las entidades de la
Administración Pública deben darle
cumplimiento a su misión constitucional
y legal a través de los objetivos
institucionales, los cuales desarrollan
programas y proyectos a partir del
diseño y ejecución de los diferentes
planes.
- CONTEXTO ESTRATÉGICO: Para la
formulación y operacionalización de la
política de administración del riesgo es
fundamental tener claridad de la misión
institucional, sus objetivos y tener una visión
sistémica de la gestión
- HISTORIA Y EVOLUCIÓN: A través del Decreto 1599
del 20 de mayo del 2005 se adoptó el Modelo
Estándar de Control Interno para todas las
entidades del Estado de las que habla el artículo
5º de la Ley 87 de 1993
- las entidades de la
Administración
Pública no pueden
ser ajenas al tema
de los riesgos y
deben buscar
cómo manejarlos
y controlarlos.
- CONCLUSIONES Y OBSERVACIONES
- El mejor plan de seguridad se vería seriamente hipotecado sin una
colaboración activa de las personas involucradas en el sistema de
información, especialmente si la actitud es negativa, contraria o de
“luchar contra las medidas de seguridad”.
- En conclusión, por tanto, podemos afirmar que cualquier
metodología de análisis de riesgos conlleva de forma implícita
una identificación / inventario de activos, una reflexión sobre el
posible catálogo de amenazas que pueden afectar a los
mismos, la medición de su impacto y probabilidad de
ocurrencia, así como una recomendación final sobre las
salvaguardas más apropiadas para minimizar el riesgo.
- El mejor plan de seguridad se vería seriamente hipotecado sin una
colaboración activa de las personas involucradas en el sistema de
información, especialmente si la actitud es negativa, contraria o de
“luchar contra las medidas de seguridad”.
Media attachments
Want to create your own Mind Maps for free with GoConqr? Learn more.