• Estructurar el proyecto sirve de guía al equipo de trabajo y permite involucrar en los
clientes, a los responsables de activos que hay que proteger y a los clientes. • El conjunto de productos que se ofrece. • El conjunto de técnicas para conseguir los productos. • Funciones y responsabilidades de las personas que ponen en marcha el proyecto. Sistema de Gestión de Seguridad de la Información
El submodelo de procesos es capaz de formalizar las diferentes acciones, las
sucesiones y la estructura en tres niveles diferentes: etapas, actividades y tareas. En cada etapa se agrupan diferentes actividades, establece los hitos de decisión y consigue los productos intermedios y finales.
En cada actividad se agrupan las diferentes tareas con criterios de carácter funcional.
En cada terea se describe el trabajo realizado en el mínimo componente del desglose
y suele asignarse a un solo tipo de puesto y de ejecutantes. La descripción de estos conceptos son: acciones que se deben realizar, atores, productos y documentos que se obtendrán como productos de acciones, validaciones y aprobaciones de los resultados obtenidos. Submodelo de procesos de MAGERIT Etapa 1 “Planificación de análisis y gestión de riesgos”, estableciendo las consideraciones necesarias para poder comenzar con el proyecto de análisis y gestión de riesgos, lo que permite la investigación de la oportunidad definiendo los objetivos que se cumplen y el dominio que engloba. Etapa 2 “Análisis de riesgos”, facilita la identificación y valora las entidades que intervienen en el riesgo, se obtiene la evaluación de dichas áreas de dominio y además, realiza una estimación de los diferentes riesgos. Etapa 3 “Gestión de riesgos”, permite identificar las diferentes funciones que reducen el riesgos detectado, selecciona la medidas necesarias para que sean aceptables las funciones existentes y las restricciones. Etapa 4 “Selección de salvaguarda”, facilita la selección de los diferentes mecanismos que se deben implementar, además elabora una orientación del plan de implantación de los diferentes mecanismos que permitan que se salve la información importante, recoge los diferentes documentos de trabajo del proceso de análisis y gestiona los riesgos. Submodelo de procesos de MAGERIT
Etapa 1: Planificación de análisis y gestión de riesgos
• Oportunidad de realización: se clarifica la oportunidad de realización. • Definición del dominio y los objetivos: se especifica el dominio de los objetivos del proyecto. • Planificación del proyecto: se planifican las entrevistas. • Puesta en marcha del proyecto: seleccionar criterios de evaluación y técnicas para el proyecto, asignar los recursos necesarios. Submodelo de procesos de MAGERIT
Etapa 2: Análisis de riesgos
• Recogida de información: preparar la información. • Identificación y agrupación de activos: identificar los grupos de activos y valorarlos. • Identificación y evaluación de amenazas: identificar y agrupar las amenazas. • Identificación y estimación de vulnerabilidades: identificar y estimar las vulnerabilidades. • Identificación y valoración de impactos: identificar, tipificar y valorar los impactos. • Evaluación del riesgo: evaluar y analizar el riesgo. Submodelo de procesos de MAGERIT
Etapa 3: Gestión de riesgos
• Interpretación del riesgo: interpretar los diferentes riesgos. • Identificación y estimación de las funciones para proteger la información: identificar las funciones de protección. • Seleccionar las mejores funciones de protección: aplicar parámetros de selección. • Cumplir con los objetivos marcados: determinar el cumplimiento de los objetivos. Submodelo de procesos de MAGERIT
Etapa 4: Selección de medidas de protección
• Identificar mecanismos de protección de información: identificar, estudiar e incorporar restricciones. • Selección de mecanismos de protección: identificar los diferentes mecanismos a implantar. • Especificación de los mecanismos de implantación: especificar los mecanismos que implantar. • Planificar la implementación: priorizar y evaluar los mecanismos. • Integrar los resultados: integrar los resultados.