El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.
Metodología MAGERIT (Metodología de Análisis y Gestión de Riesgos de IT)
Es una metodología que se esfuerza por enfatizarse en dividir los activos de la organización en variados grupos, para identificar más riesgos y poder tomar contramedidas para evitar así cualquier inconveniente.
Objetivos
Objetivos Directos
- Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.
- Ofrecer un método sistemático para analizar tales riesgos
- Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control
Objetivos Indirectos
- Preparar a la Organización para procesos de evaluación, auditoria, certificación o acreditación, según corresponda en cada caso..
Sub Modelos
Sub Modelo De Elementos
- Es este submodelo se clasifican 6 elementos básicos que son: activos, amenazas, vulnerabilidades, impacto, riesgo, salvaguarda.
Sub Modelo De Eventos
- Aquí se clasifican los elementos anteriores en tres formas: dinámico físico, dinámico organizativo y estático.
Sub Modelo De Procesos
- Se definen en 4 etapas: análisis de riesgo, planificación, gestión de riesgo y selección de salvaguardas.
Volúmenes
Volumen I - Método
- Es el volumen principal en el que se explica detalladamente la metodología.
Volumen II – Catalogo de elementos
- Complementa el volumen principal proporcionando diversos inventarios de utilidad en la aplicación de la metodología.
Volumen III – Guía de técnicas
- Complementa el volumen principal proporcionando una introducción de algunas de técnicas a utilizar en las distintas fases del análisis de riesgos.
No hay comentarios:
Publicar un comentario