Apuntes 5 de Marzo de 2010
ADMINISTRACIÓN DE RIESGOS INFORMÁTICOS
1. Activo: Elemento que tiene valor tangible e intangible para la empresa
2. Amenaza: Agentes capaces de causar daños a los activos aprovechando sus vulnerabilidades.
3. Vulnerabilidad: debilidad (característica o riesgo inherente), asociada con un activo.
Riesgo= Vulnerabilidad + Amenazas
4. Controles: Acciones o mecanismos que impiden, mitigan o reducen el riesgo.
Ejemplo:
- Fuego (Amenaza)
- Desastre natural (Categoría)
- Extinguidores vencidos (vulnerabilidad)
- Destrucción de computadores personales y la información por incendio en los laboratorios (riesgo)
Amenazas vulnerabilidades
Para implantar controles de seguridad (contramedidas), debemos identificar y comprender cuáles son las amenazas a las que esta expuesta la infraestructura de TI y sus vulnerabilidades explotadas en los ataques.
Administración del riesgo
Método sistemático y lógico de identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos de una actividad, función o proceso.
METODOLOGÍAS DE ADMINISTRACIÓN DE RIESGOS
- Estándar Australiano-Neozeolandés AS/NZS 4360:2004-NTC 5254
- ISO 31000:2009 Risk Management. Principles and Guidelines
- MAGERIT 2.0 (España) http://www.csae.map.es/csi/pg5m20.htm
- NIST 800-30 (USA)
- OCTAVE (Cert-USA)
Deja un comentario