MetodologíasEvaluaciónRiesgos Grupo3

TEMA
METODOLOGÍAS DE EVALUACIÓN DE
RIESGOS
Grupo 3:
Arellano Juan
Enríquez Adriana
Posso Juan
Rivera Willian
Vallejo Valery
Verduga Cristian
Profesor: Ing. Juan Herrera

Fecha: 02/01/2023
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
TEMA
CISM
METODOLOGÍAS DE EVALUACIÓN DE RIESGOS
NIST 800-37V2
Nombre del profesor "Coloque desde pie de página"
2
TEMA
GESTIÓN DE METODOLOGÍAS
TICS Y UNIDADES
DEINFORMÁTICAS
EVALUACIÓN DE(SIC-826)
RIESGOS
NIST 800-37V2
• La publicación especial de la serie 800

informa sobre la investigación, las
directrices y los esfuerzos de
divulgación de ITL en materia de
seguridad y privacidad de los sistemas
de información y sus actividades de
colaboración con la industria, el
gobierno y las organizaciones
académicas.
3
TEMA
TICS Y UNIDADES
DEINFORMÁTICAS
RIESGOS
PASOS Y ESTRUCTURA
PREPARACIÓN CATEGORIZAR SELECCIONAR IMPLEMENTAR

• Establecer un contexto y • Clasificar el sistema y la • Selecciones un conjunto • Implemente controles y
prioridades para gestionar información para inicial de controles para el describa cómo se
el riesgo de seguridad y gestionar riesgo de sistema. emplean.
privacidad. seguridad y privaciodad.
EVALUAR AUTORIZAR MONITOREAR

• Evaluar los controles para • Autorizar los controles • Realizar evaluaciones de
ver si se están basados en el riesgo para riesgos y análisis de
implementando las operaciones y activos. impacto.
correctamente.
4
TEMA
TICS Y UNIDADES
DEINFORMÁTICAS
RIESGOS
FASE DE PREPARACIÓN
¿POR QUÉ FUE INCORPORADO?
• Fue incorporado para lograr procesos de

gestión de riesgos de seguridad y privacidad
más efectivos, eficientes y rentables.
5
TEMA
TICS Y UNIDADES
DEINFORMÁTICAS
RIESGOS
OBJETIVOS PRINCIPALES DE LA
Facilitar la comunicación efectiva entre los líderes
superiores y ejecutivos a nivel de organización.
Facilitar la identificación de controles comunes en

toda la organización.
Reducir la complejidad de la infraestructura de

tecnología de la información
6
TEMA
TICS Y UNIDADES
DEINFORMÁTICAS
RIESGOS
OBJETIVOS PRINCIPALES DE LA
Identificar, priorizar y enfocar los recursos en los activos de alto

valor (HVA) de la organización que requieren mayores niveles de
protección, tomando medidas acordes con el riesgo para dichos
activos.
Reducir la complejidad de los sistemas eliminando funciones

innecesarias y capacidades de seguridad y privacidad que no
abordan el riesgo de seguridad y privacidad.
7
TEMA
TICS Y UNIDADES
DEINFORMÁTICAS
RIESGOS
PRINCIPALES OBJETIVOS DE LA
ACTUALIZACIÓN
Proporcionar una vinculación y comunicación más estrecha entre los procesos y
actividades de gestión de riesgos de la organización.
Institucionalizar las actividades preparatorias críticas de gestión de riesgos en toda

la organización en todos los niveles de gestión de riesgos.
Integrar conceptos, principios y procesos de gestión de riesgos de privacidad en el

RMF.
Promover el desarrollo de software y sistemas seguros y confiables alineando los

procesos de ingeniería de sistemas basados en el ciclo de vida en NIST SP 800-160.
8
TEMA
CISM
OCTAVE Nombre del profesor "Coloque desde pie de página"
9
TEMA
TICS Y UNIDADES
DEINFORMÁTICAS
RIESGOS
OCVTAVE
• OCTAVE es una metodología de

evaluación de riesgos para identificar,
administrar y evaluar los riesgos de
seguridad de la información.
• Las metodologías OCTAVE se crearon
para abordar los desafíos de seguridad de
la información del Departamento de
Defensa de los Estados Unidos, pero
como ha demostrado su eficacia, ahora
esta metodología está abierta al público.
10
TEMA
TICS Y UNIDADES
DEINFORMÁTICAS
RIESGOS
OCTAVE ALLEGRO
La metodología OCTAVE está dirigida principalmente a las
personas responsables de administrar los riesgos operativos de
una organización.
OCTAVE Allegro es una metodología para reestructurar y optimizar

el proceso de medición de riesgos de seguridad de la información
Para facilitar el uso de todo el proceso, Allegro ha reducido

muchos requisitos y complicaciones que se incluyeron en las
versiones anteriores de OCTAVE.
11
TEMA
CISM
Allegro contiene un proceso de ocho pasos dividido en cuatro categorías que permite
a las organizaciones identificar, analizar, evaluar y mitigar los riesgos potenciales.
12
TEMA
TICS Y UNIDADES
DEINFORMÁTICAS
RIESGOS
ESTABLECER ACTIVOS DE IDENTIFICAR IDENTIFICAR Y

IMPULSORES PERFIL AMENAZAS MITIGAR RIESGOS
• La organización • Se crean los • Esta área incluye • Los riesgos se
desarrolla criterios perfiles de activos los pasos 4 y 5 identifican y
de medición de de información. donde las analizan en función
riesgos que son Después de amenazas a los de la información
consistentes con identificar y crear activos de sobre amenazas y
los impulsores perfiles, se información se estrategias de
organizacionales. identifican los identifican y mitigación
contenedores de documentan a desarrolladas para
activos y el perfil de través de un abordar esos
cada activo se proceso riesgos.
captura en una sola estructurado.
hoja de trabajo.
13
TEMA
TICS Y UNIDADES
DEINFORMÁTICAS
RIESGOS
¿CÓMO IMPLEMENTAR OCTAVE?
La metodología OCTAVE
Uno de los factores más
Allegro desarrollada por Las metodologías
críticos para realizar con
CERT incluye OCTAVE brindan una
éxito las metodologías
orientación, hojas de perspectiva única que
OCTAVE es obtener el
trabajo y cuestionarios implica la colaboración
patrocinio de la alta
necesarios para realizar entre la identificación,
dirección de la
una evaluación OCTAVE evaluación y mitigación.
organización.
Allegro.
14
TEMA
CISM
RISK IT Nombre del profesor "Coloque desde pie de página"
15
TEMA
CISM
Capítulo 1
INTRODUCCIÓN AL MARCO DE
RIESGOS DE TI
16
TEMA
TEMA
TEMA
GESTIÓN DEConcienciación
TICS Y UNIDADES
INTRODUCCIÓN de AL INFORMÁTICAS
MARCO
riesgos, (SIC-826)
DE RIESGOS
informes DE TI
y comunicación
LO FUNDAMENTAL SOBRE LOS

RIESGOS DE TI
El riesgo asociado con la Tecnología de la Información (I&T) es crucial para los negocios digitales, especialmente en el contexto
de ciber-amenazas.
El Marco de riesgos de TI proporciona una metodología estructurada para identificar, gestionar y optimizar estos riesgos. Se
alinea con marcos de Gestión de Riesgos Empresariales (GRE) como COSO y ISO 31000, pero no requiere su
implementación previa.
Aprovechar un programa de GRE existente es beneficioso, especialmente cuando el riesgo de I&T puede impactar en todo
el negocio.
El Marco de riesgos de TI reconcilia diferencias entre marcos genéricos y específicos de dominio, abarcando desde la cultura de
dirección hasta aspectos operativos.
Su aplicación ofrece beneficios tangibles, como menor riesgo operativo, mayor calidad de información y confianza de las
partes interesadas
17
TEMA
TEMA
TEMA
GESTIÓN DEConcienciación
TICS Y UNIDADES
INTRODUCCIÓN de AL INFORMÁTICAS
MARCO
riesgos, (SIC-826)
DE RIESGOS
informes DE TI
y comunicación
DEFINICIONES Y TERMINOLOGÍA
Negocio y/o misión: Propósito
Organización: Estructura o Gobierno: Marco y sistema
Empresa: Grupo de personas estratégico de la organización,
disposición de componentes para evaluar opciones,
con un propósito común, en el estableciendo objetivos
interrelacionados de una establecer dirección estratégica
contexto de organizaciones estratégicos, ya sea comercial o
empresa, definidos por un y priorizar metas mediante
diversas. con objetivos gubernamentales,
alcance específico. decisiones adecuadas.
militares o sin fines de lucro.
Seguridad de la Ciberseguridad: Disciplina Ciberriesgo: Exposición al

información: Disciplina empresarial que protege activos peligro, daño o pérdidas
Riesgo: Combinación de la empresarial que protege la de información abordando relacionadas con el uso o
probabilidad de un evento y su información de divulgación no amenazas a información dependencia de tecnologías de
impacto. autorizada, modificación procesada, almacenada y la información, datos
indebida e impide acceso no transportada por sistemas electrónicos y comunicaciones
necesario. interconectados. digitales.
I&T (Información y
Terminología: Puede diferir de
Tecnología):En general, abarca TI (Tecnologías de la Aplicación de
otras guías, pero se integra y
toda información y tecnología Información): En sentido Conceptos: Aplica conceptos de
amplía términos y conceptos
relacionada, ecosistemas estricto, se refiere a una función estándares industriales y
comunes de gestión de riesgos
electrónicos y digitales, o departamento, interno o desarrolla conceptos clave de
de la industria, vinculando
incluyendo seguridad de la externo, que proporciona otros marcos de gestión de
estructuras clave con
información, ciberseguridad y soporte tecnológico. riesgos de I&T.
estándares conocidos.
procesos asociados.
18
TEMA
TEMA
INTRODUCCIÓN
GESTIÓN DE TICS AL INFORMÁTICAS
Y UNIDADES MARCO DE RIESGOS DE TI
(SIC-826)
PROPÓSITO DEL MARCO DE

RIESGOS DE TI
El riesgo asociado con la I&T debe Aunque en algunas empresas se
En muchas empresas, la Tecnología ser tratado como cualquier otro considera el riesgo de I&T, la
de la Información (I&T) se ha vuelto riesgo clave de negocio, y se seguridad de la información y el
esencial para las operaciones equipara a riesgos estratégicos, ciberriesgo como subcategorías del
diarias y representa la esencia del ambientales, de mercado, riesgo operativo, a menudo se
valor empresarial. crediticios, de cumplimiento y relegan a especialistas técnicos
operativos. fuera de la sala del consejo.
El Marco de riesgos de TI aborda este riesgo al

explicar su naturaleza, permitiendo a los
El riesgo de I&T se extiende por usuarios identificar riesgos que van más allá
toda la organización y requiere un del criterio técnico y requieren una
consideración holística a nivel empresarial.
enfoque integrado de gestión de Facilita la integración del riesgo de I&T en los
riesgos, en lugar de tratamientos procesos de Gestión de Riesgos
aislados o ad hoc. Empresariales (GRE) y la evaluación de dicho
riesgo en el contexto de la tolerancia global al
riesgo de la empresa.
19
TEMA
TEMA
GESTIÓN DEINTRODUCCIÓN
TICS Y UNIDADES
METODOLOGÍAS AL INFORMÁTICAS
DEMARCO DE(SIC-826)
DE RIESGOS
EVALUACIÓN DE TI
RIESGOS
ANTECEDENTES
La seguridad de la información busca
El riesgo de Tecnología de la Información
mantener la confidencialidad, integridad y
(I&T) tiende a surgir en puntos críticos de
disponibilidad de la información, incluyendo
interconexión, especialmente en accesos a
factores como no repudio, privacidad y
Internet, siendo estos nodos esenciales
sensibilidad. El riesgo de ciberseguridad a
para los negocios y la misión, pero también
menudo se relaciona con otros tipos de
conllevando los mayores riesgos de
riesgos, ya que la tecnología es el vector
ciberseguridad y seguridad de la
principal para la materialización del
información.
ciberriesgo.
El Marco de riesgos de TI se enfoca en

recursos y actividades para reducir el
impacto o la probabilidad de
Al formular estrategias de negocio u
materialización de riesgos, centrándose en
operativas, las empresas suelen aceptar
todo el espectro de riesgos de I&T. Aunque
cierto nivel de riesgo para alcanzar sus
no es un estándar, sino un marco que
objetivos, práctica conocida como
referencia las prácticas y objetivos de
optimización en COBIT.
COBIT, las empresas deben personalizarlo
para adaptarlo a su contexto comercial e
industrial específico.
20
TEMA
TEMA
GESTIÓN DEINTRODUCCIÓN
TICS Y UNIDADES
METODOLOGÍAS AL INFORMÁTICAS
DEMARCO DE(SIC-826)
DE RIESGOS
EVALUACIÓN DE TI
RIESGOS
AUDIENCIA OBJETIVO Y PARTES

INTERESADAS
El Marco de Riesgos de TI, 2ª Edición, se dirige a una audiencia amplia debido a que la gestión de riesgos es un
requisito estratégico global.
La audiencia objetivo incluye altos ejecutivos, miembros del consejo, directores de TI, directores de TO,
profesionales de gestión de riesgos y partes interesadas externas.
El riesgo de I&T se extiende a todo el universo de riesgos empresariales, como riesgo estratégico, ambiental, de
mercado, crediticio, operativo y de cumplimiento.
Aunque en la industria financiera se considere a menudo como un subtipo del riesgo operativo, el Marco de
Riesgos de TI lo trata como un continuo coextensivo con otras categorías principales de riesgo, evitando su
confinamiento limitado a un departamento y promoviendo una evaluación y concienciación más completa del
riesgo.
21
PLAN DE RECUPERACIÓN DE DESASTRESTEMA
(DRP)
CISM
INTRODUCCIÓN AL MARCO DE RIESGOS DE TI
22
TEMA
CISM
CAPÍTULO 2
PRINCIPIOS DEL MARCO DE

RIESGOS DE TI
23
TEMA
TEMA
GESTIÓN DE TICS Y UNIDADES
PRINCIPIOS INFORMÁTICAS
DEL MARCO (SIC-826)
DE RIESGOS DE TI
24
TEMA
TEMA
PRINCIPIOS DELINFORMÁTICAS (SIC-826)
MARCO DE RIESGOS DE TI
Vinculación con el negocio o con la misión de la empresa
• Un gobierno corporativo eficaz del riesgo relacionado con la Tecnología de la Información (I&T) se
alinea con los objetivos del negocio, tratando el riesgo de I&T de manera integral y multifuncional.
Contribuye a los resultados del negocio, respaldando los objetivos y expresando los riesgos en
términos de impacto y probabilidad en la estrategia. La gestión del riesgo de I&T busca avanzar en el
negocio, considerando la vinculación de procesos con aplicaciones, activos de I&T y dependencias
de terceros.
Alineación con la gestión de riesgo empresarial
• El gobierno corporativo eficaz del riesgo relacionado con la Tecnología de la Información (I&T) se
alinea integralmente con la Gestión de Riesgos Empresariales (GRE) global, donde los objetivos del
negocio o la misión y el apetito de riesgo están claramente definidos. Los procesos de toma de
decisiones consideran todas las posibles consecuencias y oportunidades del riesgo de I&T. El apetito
de riesgo, reflejando la política de gestión de riesgos y las pautas de ejemplaridad, influye en la
cultura empresarial. La evaluación del riesgo de I&T se coordina y consolida en toda la empresa,
abarcando aspectos como ciberseguridad y seguridad de la información.
Equilibrio de costes y beneficios
•
El gobierno corporativo efectivo del riesgo relacionado con la Tecnología de la Información (I&T)
busca un equilibrio entre costos y beneficios, priorizando y abordando el riesgo de I&T de acuerdo
con el apetito y tolerancia al riesgo establecidos. Las respuestas al riesgo se implementan
considerando el análisis de coste/beneficio, evaluando alternativas y priorizando riesgos con mayor
impacto potencial en los objetivos empresariales. Se aprovechan los controles y acciones de
respuesta existentes para abordar el riesgo de manera eficiente.
25
TEMA
TEMA
PRINCIPIOS DELINFORMÁTICAS (SIC-826)
MARCO DE RIESGOS DE TI
Promoción de la comunicación ética y abierta
•
La gestión efectiva del riesgo relacionado con la Tecnología de la Información (I&T) fomenta la comunicación
abierta y ética mediante el intercambio libre de información precisa, oportuna y transparente sobre el riesgo de
I&T, influyendo en las decisiones relacionadas con este. Los métodos y la cultura de gestión de riesgos se
integran en toda la empresa, traduciendo las conclusiones técnicas en términos comerciales y financieros
comprensibles. La información sobre incidentes y las respuestas asociadas se comunican abiertamente a
partes interesadas, autoridades gubernamentales, reguladoras, clientes y, si es necesario, al público.
Establecimiento de las pautas de ejemplaridad y rendición de cuentas
• La gestión eficaz del riesgo relacionado con la Tecnología de la Información (I&T) establece pautas de
ejemplaridad al tiempo que impone la rendición de cuentas personal para operar dentro de niveles bien
definidos y aceptables de tolerancia. La participación activa de los propietarios de negocios, el consejo de
administración y la dirección ejecutiva se garantiza en la gestión de riesgos, con una clara asignación de la
propiedad del riesgo. Las aceptaciones de riesgo son comprendidas y respaldadas por líderes de negocio
adecuados, documentadas claramente en la información sobre apetito de riesgo, tolerancias, cultura, políticas
y guías para su ejecución.
Uso de un planteamiento coherente alineado con la estrategia
•
La gestión efectiva del riesgo de Tecnologías de la Información (I&T) promueve la mejora continua y se integra
en las actividades diarias de la empresa. Anticipándose a cambios internos, en el panorama de riesgos, en
leyes y regulaciones, así como en la evolución de la información y la tecnología, la empresa se prepara
dinámicamente. Los métodos de evaluación del riesgo, escalas y criterios son consistentes en toda la
organización, aplicándose a la identificación de procesos clave y riesgos asociados, impactos en los objetivos,
indicadores de riesgo fuera de tolerancia, monitoreo de controles, acciones preventivas, respuesta a eventos
adversos, y mitigación de sesgos en la medición del riesgo cuantitativo siempre que sea posible.
26
TEMA
COMPONENTES DEL MARCO DE RIESGOS DE TI Y LA ALINEACIÓN CON COBIT
CISM
CAPÍTULO 3
COMPONENTES DEL MARCO DE

RIESGOS DE TI Y LA ALINEACIÓN
CON COBIT
27
TEMA
COMPONENTES DEL MARCO DE RIESGOSCISM
DETI
Componentes
Identificación de riesgos
• Este componente se centra en la identificación de los riesgos de TI. que pueden afectar a la organización.
Involucra la identificación de activos de TI, la evaluación de amenazas y vulnerabilidades que podrían
impactar estos activos, y la evaluación de la probabilidad y el impacto asociados a esos riesgos.
Evaluación de riesgos
• Este componente implica la evaluación de los riesgos de TI identificados en términos de su probabilidad y

su impacto en la organización. Esto ayuda a priorizar los riesgosNombre del profesor
y a determinar "Coloque
las medidas desde pie de página"
de mitigación
necesarias.
Respuesta al riesgo
• Este componente implica la implementación de medidas de mitigación para reducir los riesgos de TI a un
nivel aceptable para la organización. Esto puede incluir la implementación de controles de seguridad, la
transferencia de riesgos a terceros o la aceptación de riesgos residuales.
Supervisión y revisión
• Supervisión y revisión: Este componente implica la supervisión y revisión continua de los riesgos de TI y
las medidas de mitigación implementadas para garantizar que sigan siendo efectivas y adecuadas para la
organización.
28
TEMA
CISM
LA ALINEACIÓN CON COBIT
ALINEACIÓN CON COBIT
La alineación con COBIT implica la

integración de los componentes del
Marco de riesgos de TI con los
objetivos de COBIT para garantizar La figura 3.1 del Capítulo 3 del
una gestión efectiva de los riesgos documento "Marco de Riesgos de
de TI en el contexto de las mejores TI,Nombre del profesor
2ª Edición" "Coloque
ilustra desde pie de página"
la alineación
prácticas de gobierno de la de los principios de gestión de
tecnología de la información. Esto se riesgos relacionados con la I&T con
logra mediante la aplicación de los los objetivos de COBIT
principios de gestión de riesgos
relacionados con la I&T en el
contexto de los objetivos de COBIT.
29
TEMA
CISM
30
TEMA
CISM
31
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)TEMA
CONCEPTOS ESENCIALES DEL GOBIERNO DE RIESGOS
CISM
CAPÍTULO 4
CONCEPTOS
ESENCIALES DEL GOBIERNO
DE RIESGOS
32
TEMA
CISM
CONCEPTOS ESENCIALES DEL GOBIERNO DE RIESGOS
CONCEPTOS
Apetito de riesgo, tolerancia al riesgo y capacidad de riesgo
• Estos conceptos se refieren a la disposición de la organización para asumir

riesgos en la búsqueda de sus objetivos, así como a la cantidad de riesgo que la
organización está dispuesta a aceptar y a su capacidad para gestionar los
riesgos de manera efectiva.
Partes interesadas para la gestión del riesgo relacionado

Nombrecon
del profesor "Coloque desde pie de página"
la I&T
• Identifica a las partes interesadas clave que deben participar en la gestión de los
riesgos relacionados con la tecnología de la información, incluyendo la alta
dirección, los propietarios de procesos, los responsables de la gestión de
riesgos y otros actores relevantes.
Cultura de riesgo
• Se refiere a la necesidad de promover una cultura organizacional consciente del

riesgo, que fomente la discusión abierta sobre el riesgo, la comprensión y el
mantenimiento de los niveles de riesgo aceptables en toda la empresa.
33
CISM
CONCIENCIACIÓN DE RIESGOS, INFORMES Y COMUNICACIÓN
CAPÍTULO 5
COMPONENTES ESENCIALES DEL

PROCESO GENERAL DE GESTIÓN DE
RIESGO
34
TEMA
CISM
FUNDAMENTOS DE LA RESPUESTA AL RIESGO
ESTABLECIMIENTO
COMPRENSIÓN DEL
DEL CONTEXTO Y
FLUJO DE TRABAJO:
ALCANCE:
Posicionamiento del Descripción de etapas

riesgo en la empresa clave del flujo de
en relación con su trabajo de gestión de
misión y objetivos. riesgos.

Enfatiza la no
secuencialidad de las
Importancia de alinear
etapas y la
procesos diarios con
adaptabilidad según la
metas a largo plazo.
eficiencia de la
empresa
Necesidad de definir el
alcance de las medidas
y establecer criterios
de evaluación
35
CISM
CAPÍTULO 6
COMPONENTES ESENCIALES DEL

PROCESO DE EVALUACIÓN DE RIESGO
36
TEMA
DETI
CONCEPTOS ESENCIALES DEL PROCESO

DE EVALUACIÓN DE RIESGOS
Identificación de Riesgos
• Proceso para reconocer y entender riesgos potenciales.

• Contextos formales e informales para identificación.
• Enfoques de arriba a abajo y de abajo a arriba en la identificación.
Análisis de Riesgos
• Estimación de frecuencia y magnitud de escenarios de riesgo.

• Diferencias entre análisis y evaluación de riesgos.
• Inclusión de graduación y agrupación de riesgos en la evaluación
37
TEMA
DETI
CONCEPTOS ESENCIALES DEL PROCESO

DE EVALUACIÓN DE RIESGOS
Evaluación del Impacto en el Negocio
• Necesidad de expresar riesgos relacionados con la I&T de manera clara y

relevante. Nombre del profesor "Coloque desde pie de página"
• Comunicación efectiva entre áreas de TI y negocio.
• Vínculo entre escenarios de riesgo y impacto final en negocio o misión
Escenarios de Riesgo de I&T
• Desafíos en la gestión de riesgos de I&T.

• Desarrollo de escenarios para estructurar riesgos relacionados con la I&T.
• Combinación de enfoques de arriba a abajo y de abajo a arriba.
• Importancia de taxonomía del riesgo y factores de riesgo.
38
CISM
CAPÍTULO 7
CONCIENCIACIÓN DE RIESGOS,
INFORMES Y COMUNICACIÓN
39
CISM
EL RIESGO DEBE SER:
IDENTIFICABLE RECONOCIDO
ENTENDIDO Y GESTIONADO MEDIANTE

CONOCIDO RECURSOS ADECUADOS
40
CISM
Indicadores clave de riesgos

(KRI)
Métricas para mostrar si la

empresa tiene alta
probabilidad de estar sujeta a
un riesgos que exeda la
tolerancia de riesgos Nombre del profesor "Coloque desde pie de página"
establecida.
Señales de alerta temprana y Contexto histórico Feedback sobre el apetito de

prospectivas restrospectivo. reisgo y las tolerancias.
41
CISM
42
CISM
CAPÍTULO 8
FUNDAMENTOS DE LA RESPUESTA
AL RIESGO
43
TEMA
CISM
Compartición o
Evitación del Mitigación del
transferencia de
riesgo riesgo
riesgos.
Abandonar las Supone reducer la

Fortalecer practicas
actividades o frecuencia del riesgo o
generals de la gestion
condiciones que dan del impacto transfiriendo
de riesgos.
lugar al riesgos. una parte de él.
Aplicar cuando ninguna Integrar la

respuesta rentable logra concienciación del Un ejemplo es una
reducir el riesgos riesgos en los flujos de cobertura de seguros.
materializado. trabajo habituales.
Mejorar los procesos de
gestion de riesgos y Outsourcing de
desarollar las tolerancias servicios.
relevantes.
Automatizar los
disparadores y las
alertas.
Introducir controles.
44
TEMA
CISM
Aceptación Agregación
del riesgo de riesgos
Combinar riesgos
No se adoptan individuales a efectos
medidas en relación Nombrede
delinformes
profesor "Coloque
o paradesde pie de página"
a un riesgos. obtener un perfil de
riesgos integrado.
Se acepta la pérdida
si ocurre.
45
TEMA
CISM
Selección de la respuesta
y priorización de riesgos
Capacidad
para
Otras
Importancia implementar Efectividad
Coste de la inversions Otras
del riesgos y mantener de la
respuesta relacionadas respuestas
abordado. la respuesta respuesta.
al IT.
a lo largo del
tiempo.
46
TEMA
CISM
MAGERITNombre del profesor "Coloque desde pie de página"
47
TEMA
CISM
MAGERIT
• MAGERIT es la metodología de análisis

y gestión de riesgos elaborada por el
MAGERIT
Consejo Superior de Administración
Electrónica, como respuesta a la"Coloque desde pie de página"
Nombre del profesor
percepción de que la Administración, y,

en general, toda la sociedad, dependen
de forma creciente de las tecnologías de
la información para el cumplimiento de
su misión.
48
TEMA
TICS Y UNIDADES
DEINFORMÁTICAS
RIESGOS
OBJETIVOS DE MAGERIT
Concienciar a los responsables de las organizaciones de información
de la existencia de riesgos y de la necesidad de gestionarlos.
Ofrecer un método sistemático para analizar los riesgos derivados

del uso de tecnologías de la información y comunicaciones (TIC).
Ayudar a descubrir y planificar el tratamiento oportuno para

mantener los riesgos bajo control Indirectos.
Preparar a la Organización para procesos de evaluación, auditoría,

certificación o acreditación, según corresponda en cada caso.
49
TEMA
TICS Y UNIDADES
DEINFORMÁTICAS
RIESGOS
ESTRUCTURA DE MAGERIT
Libro III: Guía de

Libro II: Catálogo de
Libro I: Método técnicas (explicación de
elementos
(Descripción de la las técnicas cuantitativas
(Especificación de
metodología, fases y y cualitativas en el
términos y criterios
tareas a ejecutar). Análisis y Gestión del
técnicos).
Riesgo).
50
TEMA
TICS Y UNIDADES
DEINFORMÁTICAS
RIESGOS
MÉTODO DE ANÁLISIS DE RIESGOS

Indica los pasos a seguir para determinar y evaluar de forma adecuada los riesgos,
amenazas y salvaguardas que puede tener y ejecutar la compañía.
Establecer los activos relevantes para la

organización, su interrelación y su valor.
Definir a qué amenazas están expuestos los

activos.
Determinar las salvaguardas que hay dispuestas y

cuán eficaces son frente al riesgo.
Estimar el impacto o daño sobre el activo derivado

de la materialización de la amenaza.
Estimar el riesgo y el impacto ponderado con la

tasa de ocurrencia de la amenaza.
51
TEMA
TICS Y UNIDADES
DEINFORMÁTICAS
RIESGOS
PILAR
PILAR es un conjunto de herramientas

cuya función es el análisis y la gestión
de riesgos de un sistema de
información siguiendo la metodología
Magerit (Metodología de Análisis y
Gestión de Riesgos de los Sistemas de
Información) y que ha sido desarrollada
en coordinación con el CCN y
parcialmente financiada por el mismo.
52
TEMA
CISM
53
TEMA
TICS Y UNIDADES
DEINFORMÁTICAS
RIESGOS
TOGAF
El desarrollo original de El estándar TOGAF es un

TOGAF Versión 1 en 1995 marco para la arquitectura
se basó en el Marco de empresarial. Puede ser
El estándar TOGAF es
Arquitectura Técnica para utilizado libremente por
desarrollado y mantenido
la Gestión de la cualquier organización
por miembros de The
Información, desarrollado que desee desarrollar una
Open Group
por el Departamento de arquitectura empresarial
Defensa de los Estados para su uso dentro de esa
Unidos. organización
54
TEMA
CISM
ESTRUCTURA
55
TEMA
TICS Y UNIDADES
DEINFORMÁTICAS
RIESGOS
PARTES DEL DOCUMENTO
PARTE I PARTE II PARTE III

• (Introducción) Esta parte • (Método de desarrollo de • (Marco de contenido de
proporciona una arquitectura) Describe el arquitectura) Esta parte
introducción de alto nivel método de desarrollo de describe el marco de
a los conceptos clave de arquitectura TOGAF: un contenido de TOGAF, que
la arquitectura enfoque paso a paso incluye un metamodelo
empresarial y, en para desarrollar una estructurado para
particular, el enfoque arquitectura empresarial. artefactos
TOGAF. Contiene las arquitectónicos.
definiciones de los
términos utilizados en
este estándar.
56
TEMA
TICS Y UNIDADES
DEINFORMÁTICAS
RIESGOS
PARTES DEL DOCUMENTO
PARTE IV PARTE V PARTE VI

• (Marco de contenido de • (Enterprise Continuum & • (Marco de capacidad de
arquitectura) Esta parte Tools) Esta parte discute arquitectura) Esta parte
describe el marco de las herramientas discute la organización,
contenido de TOGAF, que apropiadas para clasificar procesos, habilidades,
incluye un metamodelo y almacenar los roles y responsabilidades
estructurado para resultados de la actividad requeridas para
artefactos de arquitectura dentro de establecer y operar una
arquitectónicos. una empresa. función de arquitectura
dentro de una empresa.
57
TEMA
TICS Y UNIDADES
DEINFORMÁTICAS
RIESGOS
Información sobre el uso del estándar

TOGAF
El estándar TOGAF está disponible gratuitamente para ver en línea sin licencia.
Las descargas del estándar TOGAF, incluidos los archivos PDF imprimibles,
están disponibles bajo licencia en el sitio web de información de TOGAF
Open Group se compromete a brindar una mayor eficiencia comercial al reunir

a compradores y proveedores de sistemas de información para reducir las
barreras de la integración de nuevas tecnologías en toda la empresa.
Su objetivo es hacer realidad la visión del flujo de información sin límites.
58
TEMA
CISM
COMPARATIVA
59
TEMA
CISM
COMPARATIVA
60
TEMA
CISM
CONCLUSIÓN
61
CISM
METODOLOGÍA ESCOGIDA:
RISK IT
62
CISM
Enfoque basado
únicamente en It
Alta relación con

Posesión de un
COBIT con fácil
lenguaje común
integración
Es muy fácil
adaptarlo a
Se basa en el ciclo
diferentes entornos
de vida de riesgos
ajustado su
enfoque
63
TEMA
TICS Y UNIDADES
DEINFORMÁTICAS
RIESGOS
CONCLUSIONES
Cada metodología tiene su propio enfoque, fortalezas y áreas de
énfasis. Mientras Risk IT se enfoca en la integración con la
estrategia empresarial y COBIT, NIST se destaca por su enfoque
detallado en estándares y directrices de seguridad, OCTAVE se
centra en la evaluación de riesgos y MAGERIT en el análisis y
gestión de riesgos en sistemas de información
La elección de una metodología depende de las necesidades,

objetivos y contexto de la organización. Algunas metodologías
pueden ser más adecuadas para ciertos tipos de negocios o
inclusive el tamaño del mismo
64

MetodologíasEvaluaciónRiesgos Grupo3

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

MetodologíasEvaluaciónRiesgos Grupo3

Cargado por

Copyright:

Formatos disponibles

TEMA

Profesor: Ing. Juan Herrera

• La publicación especial de la serie 800

PREPARACIÓN CATEGORIZAR SELECCIONAR IMPLEMENTAR

EVALUAR AUTORIZAR MONITOREAR

¿POR QUÉ FUE INCORPORADO?

• Fue incorporado para lograr procesos de

Facilitar la identificación de controles comunes en

Reducir la complejidad de la infraestructura de

Identificar, priorizar y enfocar los recursos en los activos de alto

Reducir la complejidad de los sistemas eliminando funciones

Institucionalizar las actividades preparatorias críticas de gestión de riesgos en toda

Integrar conceptos, principios y procesos de gestión de riesgos de privacidad en el

Promover el desarrollo de software y sistemas seguros y confiables alineando los

OCTAVE Nombre del profesor "Coloque desde pie de página"

• OCTAVE es una metodología de

OCTAVE Allegro es una metodología para reestructurar y optimizar

Para facilitar el uso de todo el proceso, Allegro ha reducido

Nombre del profesor "Coloque desde pie de página"

ESTABLECER ACTIVOS DE IDENTIFICAR IDENTIFICAR Y

¿CÓMO IMPLEMENTAR OCTAVE?

RISK IT Nombre del profesor "Coloque desde pie de página"

Nombre del profesor "Coloque desde pie de página"

LO FUNDAMENTAL SOBRE LOS

Seguridad de la Ciberseguridad: Disciplina Ciberriesgo: Exposición al

PROPÓSITO DEL MARCO DE

El Marco de riesgos de TI aborda este riesgo al

El Marco de riesgos de TI se enfoca en

AUDIENCIA OBJETIVO Y PARTES

Nombre del profesor "Coloque desde pie de página"

Nombre del profesor "Coloque desde pie de página"

PRINCIPIOS DEL MARCO DE

Vinculación con el negocio o con la misión de la empresa

Alineación con la gestión de riesgo empresarial

Equilibrio de costes y beneficios

Promoción de la comunicación ética y abierta

Establecimiento de las pautas de ejemplaridad y rendición de cuentas

Uso de un planteamiento coherente alineado con la estrategia

Nombre del profesor "Coloque desde pie de página"

COMPONENTES DEL MARCO DE

• Este componente implica la evaluación de los riesgos de TI identificados en términos de su probabilidad y

ALINEACIÓN CON COBIT

La alineación con COBIT implica la

ALINEACIÓN CON COBIT

Nombre del profesor "Coloque desde pie de página"

ALINEACIÓN CON COBIT

Nombre del profesor "Coloque desde pie de página"

Nombre del profesor "Coloque desde pie de página"

• Estos conceptos se refieren a la disposición de la organización para asumir

Partes interesadas para la gestión del riesgo relacionado

• Se refiere a la necesidad de promover una cultura organizacional consciente del

Nombre del profesor "Coloque desde pie de página"

COMPONENTES ESENCIALES DEL

Posicionamiento del Descripción de etapas

Nombre del profesor "Coloque desde pie de página"

Nombre del profesor "Coloque desde pie de página"

COMPONENTES ESENCIALES DEL

CONCEPTOS ESENCIALES DEL PROCESO

• Proceso para reconocer y entender riesgos potenciales.

• Estimación de frecuencia y magnitud de escenarios de riesgo.

CONCEPTOS ESENCIALES DEL PROCESO

• Necesidad de expresar riesgos relacionados con la I&T de manera clara y