Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La gestión de riesgos de seguridad de la información es tal vez el proceso más significativo para la
estructuración, mantenimiento y mejora de un sistema capaz de gestionar adecuadamente la
seguridad de la información.
Las metodologías de análisis y/o evaluación de riesgos ayudan a las organizaciones a acelerar este
proceso. Algunas de las metodologías más utilizadas son:
· ISO/IEC 27005: Establece las directrices para la gestión del riesgo en la seguridad de la
información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está
diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un
enfoque de gestión de riesgos. Describe el proceso completo de gestión de riesgos dividiéndolo en
6 fases: Establecimiento del Alcance, Valoración de Riesgos (formada por las tareas de Análisis y
Evaluación), Tratamiento de Riesgos, Aceptación de Riesgos, Comunicación de Riesgos y
Monitorización y Revisión de Riesgos.
Fase 1: Análisis del contexto, estudiando cuales son las dependencias de los procesos del negocio
respecto a los sistemas de información.
Fase 2 y 3: Análisis de las necesidades de seguridad y de las amenazas, determinando los puntos
de conflicto.
· TARA (theThreatAgentRiskAssessment): Fue desarrollada por Intel para llevar a cabo sus
evaluaciones de riesgos de seguridad y posteriormente decidió hacerla pública. Se centra en el
seguimiento y la evaluación continua de los controles de seguridad, incluyendo documentación de
cambios en los sistemas, la realización de análisis de impacto a los cambios asociados, y la premisa
de informar sobre el estado de seguridad a los empleados o participantes de la organización de
una forma regular.
COSO permite relacionar las necesidades de alto nivel -efectividad y eficiencia en la operación,
confiabilidad de los reportes financieros y cumplimiento con leyes y regulaciones, con
requerimientos de administración de riesgo genéricos y específicos para los distintos procesos de
negocio de una organización, incluyendo los procesos de apoyo como las Tecnologías de
Información.