Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Riesgos
CSY 6131
2 2
Temario
Gobierno de Seguridad de la
Nº 1
Información
Implementa políticas de seguridad en
servidores y equipos de usuario final según
Nº 2 Gestión de Riesgo necesidades de uso, requerimientos de la
organización y protocolos de la industria.
Implementación de un
Nº 3
programa de Seg. De la Inf.
Nº 4 Gestión de Incidentes
Nº 5 Evaluación 1
3
Gestión de Riesgo
de la Información
Introducción
5
Introducción
6
Introducción
8
Controles
9
Contramedidas
10
Evaluación del riesgo
» La evaluación general del riesgo incluye tres fases distintas:
• Identificación de riesgos
• Análisis de riesgos
• Evaluación de riesgos
» En la identificación de riesgos, se desarrolla un conjunto de escenarios de
riesgo y posibles resultados basados en una evaluación exhaustiva del
panorama de amenazas y una evaluación de la vulnerabilidad (tanto lógica
como física, incluida la consideración de las exposiciones) y luego se
determinan las formas probables en que podría ocurrir un compromiso.
como las posibles consecuencias (consulte la sección 2.7.9 Identificación de
riesgos).
» El análisis de riesgo consiste en un análisis exhaustivo del riesgo identificado
utilizando varias técnicas y realizando BIA en toda la empresa para
desarrollar una comprensión clara de los impactos potenciales.
» La evaluación de riesgos utiliza los resultados del análisis para determinar si
el riesgo se encuentra dentro del rango aceptable o debe mitigarse.
11
Proceso de Gestión de
Riesgo
» El diseño e implementación del proceso de gestión de riesgos
en la organización estará influenciado por:
» Cultura (aversión al riesgo o agresiva)
» Misión y objetivos
» Estructura organizacional
» Capacidad para absorber pérdidas
» Productos y servicios
» Procesos de gestión y operación
» Específicos prácticas organizacionales
» Condiciones físicas, ambientales y regulatorias
12
Estrategia de Gestión de
Riesgo
» Una estrategia de gestión de riesgos es el plan para lograr los
objetivos de gestión de riesgos. En última instancia, esos
objetivos son lograr un nivel aceptable de riesgo en toda la
empresa que resulte en un nivel aceptable de interrupción de
las actividades de la organización.
» El nivel aceptable de riesgo es una decisión de la gerencia que
generalmente se basa en una variedad de factores que
incluyen:
• La capacidad de la organización para absorber pérdidas
• El apetito de riesgo de la gerencia
• Los costos para lograr niveles de riesgo aceptables
• Relaciones riesgo-beneficio
» El riesgo aceptable determina los objetivos de control, que se
convierten en los principales objetivos de la estrategia.
13
Programa de Gestión de
Riesgo
» Los pasos iniciales para desarrollar un programa de gestión de
riesgos incluyen el establecimiento.
» Contexto y propósito del programa
» Alcance y estatuto
» Autoridad, estructura y relaciones de informes
» Identificación, clasificación y propiedad de activos
» Objetivos de gestión de riesgos
» La metodología que se utilizará
» El equipo de implementación
14
Tecnologías
16
Proceso de Gestión de
Riesgo
17
Proceso de Gestión de
Riesgo
18
Framework de Gestión de
Riesgo
19
Entorno externo
20
Entorno interno
21
GAP Análisis
22
Evaluación del Riesgo
24
Modelo de simulación
25
Amenazas
27
Vulnerabilidad
28
Análisis del Riesgo
29
Análisis Cualitativo
30
Análisis Cuantitativo
31
Cálculo de Riesgo
32
Cálculo de Riesgo
33
Ejemplo
34
Resumen
» Marco de Gobierno
» Controles y contramedidas
» Evaluación del riesgo
» Programa de Gestión de Riesgo
» Tecnologías
» Evaluación del Riesgo
» Análisis del Riesgo
» Calculo de riesgo
35
Preguntas
Pregunta 1
37
Pregunta 2
Resp:
A. El riesgo cambia a medida que las amenazas, las vulnerabilidades o los
impactos potenciales cambian con el tiempo. El programa de gestión de riesgos
debe contar con procesos para monitorear esos cambios y modificar las
contramedidas, según corresponda, para mantener niveles aceptables de riesgo
residual.
38
Pregunta 3
40