domingo, 4 de octubre de 2015

Metodología NIST SP 800-30 Para Análisis de Riesgo Informático

El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.

NIST SP 800-30

Esta serie incluye una  metodología para el análisis  y gestión de riesgos de seguridad de la información,  alineada y complementaria  con el resto de documentos  de la serie.

9 pasos básicos para el análisis de riesgo

  • Caracterización del sistema. 
  • Identificación de amenazas. 
  • Identificación de vulnerabilidades. 
  • Control de análisis. 
  • Determinación del riesgo. 
  • Análisis de impacto. 
  • Determinación del riesgo. 
  • Recomendaciones de control. 
  • Resultado de la implementación o documentación