La Autorizacion De La Seguridad Como método De Alcance Al Ser Hemano
Enviado por wildropito • 7 de Junio de 2013 • 1.085 Palabras (5 Páginas) • 351 Visitas
3.3.1. METODOLOGÍA DE RIESGOS Hay varios métodos para realizar el análisis de riesgos, cada método tiene sus propias características, así como sus ventajas y desventajas. Es necesario comprender los diferentes métodos y sus ventajas y desventajas para seleccionar un método de análisis de riesgos que se ajuste a las características de la empresa.
A continuación realizamos una breve descripción de algunos de estos métodos: MAGERIT MAGERIT es la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas promovida por el Consejo Superior de Informática. MAGERIT define los procedimientos para guiar a la Administración paso a paso en el establecimiento de la protección necesaria y como respuesta a su dependencia creciente respecto de las técnicas electrónicas, informáticas y telemáticas. Los objetivos:
• Analizar los riesgos que soporta un determinado sistema de información y el entorno asociable con él, entendiendo por riesgo la posibilidad de que suceda un daño o perjuicio. El análisis de riesgos permite identificar las amenazas que acechan a los distintos componentes pertenecientes o relacionados con el sistema de información (conocidos como "activos"), para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede tener para la organización. Se obtiene así una medida del riesgo que corre el sistema analizado.
• Recomendar las medidas apropiadas que deberían adoptarse para conocer, prevenir, impedir, reducir o controlar los riesgos investigados, mediante la gestión de riesgos. EBIOS (Francia) Es una herramienta de gestión de los riesgos, el método EBIOS permite apreciar y tratar los riesgos relativos a la seguridad de los sistemas de información (SSI). Posibilita también la comunicación dentro del organismo y también con los asociados para contribuir al proceso de la gestión de los riesgos SSI. También se considera una herramienta de negociación y de arbitraje brindando las justificaciones necesarias para la toma de decisiones (descripciones precisas, retos estratégicos, riesgos detallados con su impacto en el organismo, objetivos y requerimientos de seguridad explícitos). Una herramienta de concienciación EBIOS permite concienciar a las partes involucradas en un proyecto (dirección general, financiera, jurídica o recursos humanos, diseñador del proyecto, director del proyecto, usuarios), implicar a los actores del sistema de información y uniformizar el vocabulario. OCTAVE (Cert) Un equipo pequeño de personas del área operacional y el departamento de tecnologías de la información deberán trabajar juntos para dirigir las necesidades de seguridad de la organización. El equipo utiliza el conocimiento de muchos empleados para definir el estado actual de seguridad, identificación de riesgos para los activos críticos, y el conjunto de estrategias de seguridad. OCTAVE es diferente de las valoraciones tecnológicas. Enfocada en el riesgo organizacional y estratégico, riesgos operacionales balanceados, prácticas de seguridad y tecnología.
étodo de Octave Como se ilustra en la figura 3.5, OCTAVE es manejada por riesgos operacionales y prácticas de seguridad. La tecnología es examinada solo en relación con prácticas de seguridad.
valorizacion
El criterio de OCTAVE define un estándar para el manejo de riesgos, valoración y evaluación de seguridad de información. Actualmente hay dos métodos reconocidos: Método OCTAVE- para grandes organizaciones OCTAVE-S- para medianas organizaciones GUIAS PARA LA ADMINISTRACIÓN DE SEGURIDAD DE IT De acuerdo a las Guías para la administración de seguridad IT (GMITS), se consideran los siguientes métodos para la valoración de riesgos:
1) Acercamiento Básico 2) Análisis de riesgo detallado 3) Acercamiento combinado 4) Acercamiento informal
...