Actividad: Elaboración del documento de metodología de análisis y gestión de riesgos de una organización

Actividades[pic 1]

Actividad: Elaboración del documento de metodología de análisis y gestión de riesgos de una organización

Imagina que eres el responsable de seguridad de la información de una compañía (CISO) y la dirección te ha encargado que elabores un Plan Director de Seguridad de la Información, una de las decisiones que debes tomar es la elección de una metodología de análisis y gestión de riesgos, que a partir de la aprobación del PDSI será de utilización obligatoria.

El resultado de la elección de la metodología más apropiada deber ser el documento «metodología de análisis y gestión de riesgo», en el que se describe y desarrolla la metodología elegida.

Para elaborar el documento debes estudiar las metodologías de análisis y gestión de riesgos existentes, escoger la más apropiada y adaptarla a las necesidades de la organización.

Índice

Metodologías.        3

COBIT        3

ITIL        3

ISO/31000        3

MAGERIT        3

Contextualización Empresarial.        4

Misión.        4

Visión.        4

Organigrama.        5

Análisis y gestión de riesgos. MAGERIT        5

Identificación.        5

Activos.        6

Amenazas.        8

Salvaguardar.        12

∙        Protección de los datos / información        12

∙        Protección de las aplicaciones (software)        13

∙        Protección de los equipos (hardware)        13

∙        Protección de las comunicaciones        13

Conclusiones.        14

Bibliografía.        14

Índice de Tablas e Ilustraciones

Tabla 1 Tabla de Valor Cuantitativa        7

Tabla 2 Tabla de Activos y sus riesgos        8

Tabla 3 Probabilidad de ocurrencia        9

Tabla 4 Amenazas con su nivel de ocurrencia        12

Ilustración 1 Organigrama        5

Ilustración 2 Relación de dependencia de Activos        7

Metodologías.

COBIT

Esta metodología es un marco de referencia para establecer un conjunto de procesos para reducir los riesgos al manejar tecnologías de la información, esta metodología ayuda a medir, organiza y hace mas eficientes los procesos provocando que su mejora continua sea mucho mejor. Cobit maneja los siguientes procesos Planificar y Organizar (PO), Adquirir e Implementar (AI), Proveer y Soportar (DS) y Monitorear y Evaluar (ME). Esta metodología es principalmente utilizada por empresas de clase mundial en donde la infraestructura de TI es demasiado grande ya que si la empresa es demasiado pequeña puede salir muy cara manejar esta metodología.

ITIL

La metodología fue creada por el gobierno británico para estandarizar el uso de TI, ITIL es un conjunto de buenas prácticas para la gestión de servicios de TI, está basado en un ciclo de vida y consiste en cinco etapas estrategia del servicio, diseño del servicio, transición del servicio, operación del servicio y mejora continua del servicio. ITIL no es una norma o estándar es un marco de asesoramiento y mejores practica para las empresas por lo cual no se me hace conveniente usarlo para esta actividad.

ISO/31000

Es una norma de gestión de riesgos la cual se puede utilizar en cualquier tamaño de organización y sin importa el sector de la empresa se aplica durante todo el tiempo de vida de la empresa. Esta norma proporciona una serie de guías para desarrollar procesos para la gestión de riesgos, trabaja con todos los tipos de riesgos haciendo que la organización reflexione, analice y diseñe contramedidas para estas. Para esta actividad no me ayuda mucho debido a que me tendré que apoyar de otras normas de ISO que estén mas enfocadas a las TI.

MAGERIT

Es una metodología que implementa proceso de gestión de riesgo siguiendo la norma de ISO 31000, hace que los órganos de gobierno tomen decisiones sobre los riesgos que puedan tener al tener uso de las tecnologías de la información. Implementa medidas para tener a los riesgos mitigados, esta metodología cuenta con tres libros los cuales en cada uno se especifica la forma correcta de crear el documento, reúne técnicas para cada paso y nos va guiando en el documento con ejemplos para que sea mucho mas entendible, lo mejor de esta metodología es por la documentación que tiene para la creación del análisis de riesgo, contando con libros complementarios que te ayudan a comprender y a dar ejemplos para el correcto llenado del documento. Y debido a esto se me hace la mejor metodología para hacer el trabajo ya que es fácil de implementar y a comparación de las demás, a mi empresa le faltaría requisitos para implementarlas o que no son muy claras para mi para poder hacer esta actividad.

Contextualización Empresarial.

Este plan de Seguridad de la Información se tomara como base con la empresa “InterNet Rápido” la cual es una empresa dedicada como proveedor de servicio de internet por medios inalámbricos lleva 3 años en el mercado pero su crecimiento ha sido muy rápido siendo su principal clientes, el servicio residencial en donde los proveedores de servicios no pueden llegar por fibra ya que la empresa trabaja con radios que le dan la facilidad para llegar a lugares remotos con mayor facilidad, “InterNet Rápido” trabaja para el nivel residencial con una cantidad de 3,000 usuarios en la ciudad. Está expandiendo su red para clientes con mayor demanda de servicio de internet como lo son los clientes de empresas, los cuales necesitan una gran disponibilidad del servicio y un mejor soporte técnico.

...