Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Bryan Suarez
Cesar Rodriguez
Mauricio Hernandez
Bogota D.C
2021
Introducción
corporativa y en los peores casos, provocar grandes pérdidas económicas. Por ello es
fundamental que nuestra entidad cuente con equipos informáticos seguros, para lo cual es
fundamental analizar las amenazas y vulnerabilidades a los que estamos sometidos y el nivel
de riesgo que ello implica. Para ello, existen métodos de análisis eficaces, que nos facilitan la
tarea de combatir a atacantes que quieren atentar contra la privacidad de nuestros datos.
información.
ISO 27001:2013
El método de análisis de riesgos NIST SP 800-30. Este método nació en el seno del National
problemas de seguridad de control. Pero, la norma ISO 27001 debe tener en cuenta que una
empresa puede ir más allá de los controles de la norma para establecer los niveles de
fuentes de conocimiento.
La norma NIST SP 800-30 nace con los siguientes objetivos:
información.
Gestión de Riesgos
Ser una función esencial de la administración (no solo limitada a funciones técnicas
de IT)
toman las decisiones. El propósito del componente es producir una estrategia de gestión de
riesgos que aborda cómo las organizaciones tienen la intención de evaluar el riesgo,
inversiones operativas.
El proceso de analisis de riesgos con la metodologia Nist 800-30 se define en este grafico.
“Recuperado de : https://pamela7913.wixsite.com/sgsi/d0”
•Priorización de acciones. A partir de los diferentes niveles de riesgo que hemos comentado
anteriormente y del informe de evaluación de riesgos se procederá a realizar un Ranking de
acciones a llevar a cabo en la empresa.
•Seleccionar los controles que nos ayudarían a eliminar los riesgos. Para evitar intrusiones en
la red tenemos que contemplar que controles utilizar: firewalls, cambio de contraseñas o
actualización del firewalls.
•Asignación de responsabilidades. Seleccionar qué persona, o grupo de personas son las
encargados de llevar un control sobre los controles seleccionados.
“Recuperado: https://www.adapting.com/iso-27001-la-norma-de-la-seguridad-de-la-
informacion/”
Conclusiones
Al igual de la serie de normas ISO 27000, la serie SP 800 proporciona información
que cubre la gestión y las prácticas operativas de seguridad de la información, pero
en un mayor número de documentos. Para facilitar una guía específica para realizar
la integración de la gestión de riesgos de seguridad de la información con las
operaciones de la empresa, la serie SP NIST 800 tiene el documento SP 800-39-
Gestión de Riesgos de Seguridad.
La norma hizo 27001 es uno de los mejores estándar para aplicar en las empresas ya
que consta de metologias para la seguridad de la información asi como un buen paso
a paso para realizar un buen análisis de riesgo, es importante tener en cuenta que la
metologia 800-30 es un método de 3 pasos el cual nos permite determinar el nivel de
amenaza potencial y sus riesgos asociados con un sistema.
La metodología NIST SP800-30 está compuesta por nueve fases:
6. Análisis del impacto. En dicha fase de determinación del riesgo, se pretende evaluar
el riesgo real en el sistema de información, recomendaciones de control donde se
proporcione qué controles se podrían mitigar el riesgo identificado disminuyendo
hasta un nivel aceptable.
7. Determinación del riesgo. Para hacer un plan completo debemos conocer qué
probabilidad de explotación de las amenazas, magnitud de los impactos, adecuación
de los controles actuales y planificados nos podemos encontrar. Con dicho análisis
estableceremos qué nivel de riesgo tiene la organización pudiendo ser: bajo, medio o
alto.
gestionderiesgos/inicio