Академический Документы
Профессиональный Документы
Культура Документы
¿ QUE ES NIST ?
La nist ( Instituto Nacional de Normas y Tecnología ) es una organización de administración de
tecnología del departamento de comercio de estados unidos que tiene como función mejorar la
competitividad industrial por medio de avances en campos como la metrología, normas y tecnología a
fin de establecer seguridad y buenas practicas en los procesos.
Una de las normas que a desarrollado es la ( nist SP 80030 ) que define los procedimientos para el
análisis de Riesgos de los sistemas de información.
¿ Que es Magerit ?
Magerit ( Metodología de análisis y Gestión de Riesgos de los Sistemas de Información ), desarrollada
por CSAE ( Consejo Superior de Administración Electrónica ) debido al creciente uso de medios
electrónicos para el manejo de la información en esta norma se definen las practicas adecuadas para
manipular la información en dichos medios de forma mas segura
¿ Por que Magerit ?
Esta norma ayuda a implementar un sistema de gestión y análisis de Riesgos de los sistemas de
información de forma organizada ya que esta estructurada en procesos bien definidos .
VENTAJAS:
– Ofrece un método sistematizado para analizar los Riesgos
– Ayuda a identificar y planificar medidas necesarias para reducir los Riesgos
– Herramientas que ayudan a facilitar el análisis de Riesgos ( PILAR)
Tabla Comparativa Magerit – Nist
MAGERIT NIST SP 80030
Metodología de análisis y Gestión de Riesgos Instituto Nacional de Normas Y Tecnologías
de los Sistemas de Información
OBJETIVOS OBJETIVOS
METODOLOGIA METOLOLOGIA
– análisis de Riesgos Caracterización
– Activos Identificación de las Amenazas
– Tipos Identificación Vulnerabilidades
Analisis de Control
– Dependencias
Determinación de la probabilidad
– Amenazas
Analisis del Impacto
– Determinación del riesgo
Determinación del riesgo
– Activos Recomendaciones de Control
– Salvaguardas Resultados Documentación
– Selección de salvaguardas
ANALISIS DE RIESGOS CARACTERIZACION
Determinar lo que tiene la organización y lo que Se utiliza para caracterizar un Sistema
Podría pasar De TI y Su entorno operativo
DEPENDENCIAS ANALISIS DE CONTROL
Que activos dependen de cuales y como: Analiza los controles implementados por la
empresa para la reducción de la reducción de la
Información – Medios de almacenamiento (probabilidad), que una amenaza se materialice
sobre el sistema
Detección de intrusos
Control de la ejecución,acceso,cifrado y
Autenticación
AMENAZAS DETERMINACION DE PROBABILIDAD
Determinar la amenaza para cada activo Obtiene una clasificación global del riesgo que
Factores: indica la probabilidad de de que una vulnerabilidad
Degradación: Cuanto perjudicaría el Activo materialice una amenaza
Frecuencia: Cada cuanto se materializa la Amenaza
Factores:
Amenaza
Naturaleza de la Vulnerabilidad
Existencia y Eficacia de los controles actuales
DETERMINACION DEL RIESGO ANALISIS DE IMPACTO
Daño probable sobre el sistema o activos Medición del nivel de Riesgo para determinar
El riesgo aumenta con la frecuencia y el impacto efectos adversos derivados derivados de la
materialización de una amenaza
Medidas o mecanismos para mitigar los Evalúa el nivel de riesgo para el sistema.
Riesgos
Función: Reducir las amenazas Determinando la amenaza y la fuente de la misma
Limitar el daño Causado Magnitud del impacto al materializarse una
amenaza
SELECCION SALVAGUARDAS RECOMENDACIONES DE CONTROL
Tomar medidas que permitan reducir tanto el Dar a conocer los controles para la reducción de los
Riesgo como el Impacto Riesgos en los sistemas de las T.I, teniendo
en cuenta los siguientes factores:
Técnicas Efectivas para enfrentar las
Amenazas Eficacia de las soluciones implantadas
Legislación y Regulación
Impacto operativo
Seguridad y Fiabilidad
DOCUMENTACION
Una vez terminada la evaluación de Riesgos y
vulnerabilidades y amenazas Realizar un informe de
los Resultados Obtenidos para posteriores análisis