ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

LA SEGURIDAD, LOS SISTEMAS Y LA METODOLOGÍA DE GESTIÓN DE RIESGOS EN LOS PROGRAMAS INFORMÁTICOS

Bequer OroscoResumen15 de Febrero de 2020

2.674 Palabras (11 Páginas)252 Visitas

Página 1 de 11

Actividades[pic 1]

Actividad: La seguridad, los sistemas y la metodología de gestión de riesgos en los programas informáticos

El examen de ingreso a la empresa Banco Mexicano del Desarrollo consiste en presentar una propuesta que eficiente el involucramiento de todo el personal de la institución hacia la protección de la información del banco.

Por lo tanto, a efecto de ser uno de los primeros diez candidatos para ganar el puesto, debes presentar una estrategia que cubra por lo menos los siguientes puntos:

1. Plazo de implementación: máximo 6 meses.

2. Políticas necesarias.

3. Procesos a realizar.

4. Definición de personas a involucrar.

5. Métrica de evaluación.

El alumno deberá entregar un reporte documental con objetivos, fases, alcances y justificación de la metodología seleccionada.

LA SEGURIDAD, LOS SISTEMAS Y LA

METODOLOGÍA DE GESTIÓN DE RIESGOS EN LOS PROGRAMAS INFORMÁTICOS

CONTENIDO

1.        OBJETIVO        5

2.        ALCANCE        5

3.        DEFINICIONES        5

4.        BASE NORMATIVA Y LEGAL        5

5.        METODOLOGÍA DE EVALUACIÓN – CIS RAM        6

6.        TRATAMIENTO DEL RIESGO – CIS RAM        9

6.2. CRONOGRAMA DE ACTIVIDADES PARA IMPLEMENTACIÓN…………………………………..10

6.3.  MÉTRICA DE EVALUACIÓN……………………………………………………………………………………..14

6.4.  PERSONAS Y ÁREAS A INVOLUCRAR……………………………………………………………………….15

7.        BILBIOGRAFIA        22

  1. OBJETIVO

Definir la metodología que será de evaluación y tratamiento de los riesgos basados en la protección de la información del banco y determinar el nivel aceptable del riesgo según la norma ISO/IEC 27001 y el Método de Evaluación de Riesgos del Centro de Seguridad de Internet (CIS RAM, por sus siglas en ingles)

  1. ALCANCE

El documento establece la metodología para la evaluación de riesgos y la protección de la información del banco., por lo que el acceso a su contenido comprende a los colaboradores de la Gerencia de TI.

  1. DEFINICIONES
  • Activo. Recurso de la organización, cuya indisponibilidad supone un impacto para los intereses del negocio. [1]
  • Amenaza. Es toda acción que puede ser aprovechada al detectar una vulnerabilidad y que podría tener un potencial efecto negativo en los sistemas y la red de control IT/OT. [1]
  • CIS RAM. Centro para el Método de Evaluación de Riesgos de Seguridad de Internet. Es un método de evaluación de riesgos de seguridad de la información que ayuda a las organizaciones a implementar y evaluar su postura de seguridad en relación con las mejores prácticas de ciberseguridad. [2]
  • Controles Críticos de Seguridad. Son un conjunto de acciones prioritarias que brindan protección a la infraestructura crítica, sistemas y redes aplicando mejores prácticas para mitigar los ataques más comunes. [2]
  • Impacto o Consecuencia. Es la materialización de una amenaza como consecuencia de la explotación de una vulnerabilidad.
  • Probabilidad. Es la frecuencia o posibilidad de ocurrencia de un evento de seguridad. [1]
  • Vulnerabilidad. Es una debilidad o brecha que se detecta en los sistemas IT/OT y que suponen un riesgo a la seguridad de la infraestructura tecnológica. [1]

  1. BASE NORMATIVA Y LEGAL
  • Center for internet security. Critical Security Controls “CIS v7.0”.
  • Center for internet security. Risk Assessment Method. “CIS RAM v1.0”.
  • ISO/IEC 27001:2013 Information Technology - Security techniques - Information security management systems - Requirements
  • ISO/IEC 27005:2011 Information technology - Security techniques - Information security risk management.
  • NIST SP 800-30 Rev.1 Risk Management Guide for Information Technology Systems
  • Marco de Riesgos ISACA: Risk IT
  1. METODOLOGÍA DE EVALUACIÓN – CIS RAM

Una de las fases de desarrollo del proyecto de implementación de la propuesta para la protección de la información del fue definir la metodología para evaluar y tratar los riesgos de seguridad y definir el nivel aceptable de riesgo según la norma ISO/IEC 27001 y el método de evaluación de riesgos CIS RAM.

  1. Evaluación del riesgo

La evaluación se enfoca en establecer un nivel de criticidad del riesgo según el cumplimiento a los requisitos para la protección de la información del banco con el fin de priorizar el establecimiento de salvaguardas recomendadas teniendo en cuenta elementos como: activo, amenaza, vulnerabilidad, impacto o consecuencia y probabilidad.

La obtención del valor del riesgo se determina a través de la Probabilidad del Impacto como consecuencia de las amenazas detectadas y su vulnerabilidad.

  1. Criterio de valoración de los Riesgos

CIS RAM emplea un básico criterio de evaluación para el cálculo

[pic 2]

con ciertas modificaciones. Éste se basa en la multiplicación del valor de la Probabilidad de ocurrencia por el valor máximo de los tres tipos de impacto (Impacto de la misión, Impacto a los objetivos e Impacto a las obligaciones), Ver gráfico N°1.

Gráfico N°1 – Criterio de valoración de los Riesgos – CIS RAM

Probabilidad de Amenaza

X

Impacto de la misión

Impacto Objetivos

Impacto Obligaciones

=

Puntaje del Riesgo

2

4

3

4

8

Esta operación es aplicada en la evaluación de los riesgos del área basada en el impacto y la probabilidad de ocurrencia identificados, lo cual valorizó cada riesgo y creó bases de priorización y atención de vulnerabilidades.

        

  1. Priorización del riesgo

Para facilitar la toma de decisiones, la valoración del riesgo se determina a través de una escala de priorización que establece el nivel de criticidad. En ella se evalúan las alternativas de tratamiento para abordar las brechas de seguridad identificadas. La literatura del método CIS RAM se profundiza en el documento anexo N°1:

Rango

Nivel de criticidad

Descripción

1 - 8

1

Bajo

9 - 16

2

Medio

17 - 25

3

Alto

Tabla N°1. Rango de valoración y nivel de criticidad

Fuente: CIS RAM

  1. Niveles organizacionales para evaluar los riesgos

CIS RAM permite delimitar niveles organizacionales de acuerdo a su capacidad de gestión de la seguridad, de los que se desprende cuatro niveles:

Nivel 1: Reactivo.-

En este nivel las prácticas de gestión de Ciberseguridad no están formalizadas, el riesgo se gestiona de forma reactiva y las actividades no están directamente alineadas con los objetivos de la organización. La conciencia a nivel organizacional sobre los riesgos de Ciberseguridad es limitada y no existe un enfoque para gestionarla, por lo tanto la organización implementa una gestión de riesgos de forma irregular basándose en información de fuentes externas. [3]

Nivel 2: Formativo.-

...

Descargar como (para miembros actualizados) txt (20 Kb) pdf (280 Kb) docx (68 Kb)
Leer 10 páginas más »
Leer documento completo Guardar
Disponible sólo en Clubensayos.com