Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • El Análisis y Gestión de Los Riesgos A Través Dela Metodología MAGERIT9

    Cargado por

    mariela garces
    15 vistas7 páginas
    Control de riesgos

    Título original

    El Análisis y Gestión de Los Riesgos a Través Dela Metodología MAGERIT9

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Control de riesgos

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    15 vistas7 páginas

    El Análisis y Gestión de Los Riesgos A Través Dela Metodología MAGERIT9

    Cargado por

    mariela garces
    Control de riesgos

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 7

    El análisis y gestión de los riesgos a través dela Metodología MAGERIT 9, resulta de

    gran importancia en el funcionamiento de toda organización la empresa porque


    permite generar conciencia de su existencia, examinarlos, tratarlos y por ende la
    debida preparación para enfrentar a las auditorias, certificaciones o acreditaciones
    gubernamentales.
    9 BOCANEGRA QUINTERO, Yamilet, Análisis y gestión de riesgos de los sistemas de información
    de la alcaldía municipal de Tuluá aplicando la metodología MAGERIT. Obtenido de
    http://repository.unad.edu.co/handle/10596/3632
    10 ESPAÑA, MINISTERIO DE HACIENDA Y ADMINISTRACIONES PUBLICAS, MAGERIT –
    versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro I
    – Método, octubre 2012.- NIPO: 630-12-171-8. Disponible en:
    https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Mag
    erit.html#.WNxY_G81_IU
    El análisis y gestión de riesgos se plantea como uno de los principales pilares para
    resguardar la seguridad , la cual se traza desde la capacidad de todo el sistema
    tecnológico para enfrentar los diversos ataques a que pueden ser susceptibles,
    ganando así altos niveles de confianza en la misma. entendida como la capacidad de
    las redes o de los sistemas de información para resistir, con un determinado nivel de
    confianza, los accidentes o acciones ilícitas o mal intencionadas que comprometan la
    disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o
    transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen
    accesibles10 .
    Actualmente se encuentra vigente MAGERIT versión 3 por lo tanto, la investigación
    seguirá los libros y las Guía de Técnicas que la integran, pues implementa el Proceso
    de Gestión de Riesgos dentro de un marco de trabajo para que los interesados tomen
    decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la
    información.
    El Proceso de Gestión de Riesgos, como se señala en libro I de la Metodología
    (página 19), es un conjunto de actividades encaminadas al análisis del riesgo para
    establecer cómo es, cuánto vale y que tan protegido se encuentra el sistema de
    acuerdo a sus objetivos, políticas y estrategias a fin de elaborar el respectivo plan
    37
    de seguridad. De igual modo, se establece una segunda etapa que concierne al
    tratamiento de los riesgos (página 19), para enfrentar en la debida forma las
    situaciones que se sobrevengan.
    Figura 3 Gestión de Riesgos Gestión de Riesgos I. Análisis II. Tratamiento
    Fuente: Metodología Magerit V3.
    La metodología MAGERIT propone el siguiente esquema para la gestión de los
    riesgos:
    Figura 4 Proceso de gestión de riesgos (ISO: 31000)
    Fuente: Metodología Magerit V3.
    En virtud de lo expuesto, se pretende desarrollar los siguientes ítems:
    38
    Método de análisis de riesgos:
    Permitirá determinar los activos, las amenazas a las que están expuestos, las
    salvaguardas dispuestas y el impacto o el daño sobre el activo derivado de la
    materialización de la amenaza. Esto, con el fin de estimar el riesgo.
    Análisis del riesgo:
    Permitirá determinar los impactos y riesgos. Los impactos recogen los daños posibles
    y los riegos el daño probable. A partir del análisis efectuado se puede determinar que
    se quiere proteger y como. Es decir, es la evaluación y tratamiento en sí mismas
    consideradas.
    Tratamiento del riesgo:
    Permite eliminar o mitigar el riesgo.
    Determinación del plan de seguridad.
    Permite materializar las decisiones adoptadas para el tratamiento del riesgo.
    7.5 MARCO LEGAL
    Se presenta las siguientes normas y leyes como pilares de la protección de la
    información y su preservación:
    Ley estatutaria 1266 de 2008 (Diciembre 31): Disposiciones generales del hábeas
    data y se regula el manejo de la información contenida en bases de datos personales,
    en especial la financiera, crediticia, comercial, de servicios y la proveniente de
    terceros países11.
    11 COLOMBIA, SECRETARIA DEL SENADO. Ley 1266 de 2008. Consultado el 10 de Junio de 2018 en:
    http://www.secretariasenado.gov.co/senado/basedoc/ley_1266_2008.html
    39
    Decreto 1151 de 2008 (Abril 14). Por el cual se establecen los lineamientos
    generales de la Estrategia de Gobierno en línea de la República de Colombia, se
    reglamenta parcialmente la Ley 962 de 2005 y se dictan otras disposiciones 12.
    12 COLOMBIA, MINISTERIO DE LAS TECNOLOGIAS DE LA INFORMACION Y LAS COMUNICACIONES. Decreto 1151 de 2008. Consultado el 10 de
    Junio de 2018 en: https://www.mintic.gov.co/portal/604/articles-3643_documento.pdf
    13 COLOMBIA, SECRETARIA DEL SENADO. Ley 1273 de 2009. Consultado el 10 de Junio de 2018 en:
    http://www.secretariasenado.gov.co/senado/basedoc/ley_1273_2009.html.
    14 COLOMBIA, MINISTERIO DE LAS TECNOLOGIAS DE LA INFORMACION Y LAS COMUNICACIONES. Ley 1581 de 2012. Consultado el 10 de
    Junio de 2018 en: https://www.mintic.gov.co/portal/604/w3-article-4274.html.
    15 COLOMBIA, MINISTERIO DE LAS TECNOLOGIAS DE LA INFORMACION Y LAS COMUNICACIONES. Decreto 1377 de 2013. Consultado el 10 de
    Junio de 2018 en: https://www.mintic.gov.co/portal/604/w3-article-4274.html.
    16 COLOMBIA, MINISTERIO DE LAS TECNOLOGIAS DE LA INFORMACION Y LAS COMUNICACIONES. Ley 1341 de 2009. Consultado el 10 de
    Junio de 2018 en: https://www.mintic.gov.co/portal/604/w3-article-3707.html.
    17 NORMAS ISO. ISO/IEC 27001:013. Consultado e 10 de Junio de 2018 en: http://www.normas-iso.com/iso-27001/
    Ley 1273 de 2009 (Enero 05): De la protección de la información y de los datos - y se
    preservan integralmente los sistemas que utilicen las tecnologías de la información y
    las comunicaciones13.
    Ley 1581 de 2012 (Octubre 17). Por la cual se dictan disposiciones generales para la
    protección de datos personales14.
    Decreto 1377 de 2013 (Junio 27). Por el cual se reglamenta parcialmente la Ley 1581
    de 201215.
    Ley 1341 de 2009. Por la cual se definen “Principios y conceptos sobre la sociedad de
    la información y la organización de las Tecnologías de la Información y las
    Comunicaciones - TIC“, se crea la Agencia Nacional del Espectro, entre otras 16.
    ISO/IEC 27001:2013: Es la norma principal de la serie ISO 27K y contiene los
    requisitos del Sistema de Gestión de Seguridad de la Información. 17.
    40
    ISO/IEC 27002:2013: Es una guía de buenas prácticas que describe los objetivos de
    control y controles recomendables en cuanto a Seguridad de la Información 18.
    18
    MAGERIT. Es una metodología que responde a lo que se denomina Proceso de Gestión de los
    Riesgos de los sistemas de información19.

    También podría gustarte