OCTAVE

FASE 1: CREAR ACTIVOS BASADOS EN PERFILES DE AMENAZAS       Las principales reas de la organizacin. Los activos ms importantes de esas reas. Las amenazas a esos activos. Los requisitos de seguridad de esos activos Que hace la organizacin para proteger sus activos (prcticas de proteccin de la estrategia). Debilidades en las polticas de la organizacin y la prctica (las vulnerabilidades).

FASE 2: IDENTIFICAR LAS VULNERABILIDADES DE LA INFRAESTRUCTURA.   Evaluacin a la infraestructura de la informacin Componentes operativos clave de ah infraestructura de TI (vulnerabilidades de la tecnologa).

FASE 3: DESARROLLAR LA ESTRATEGIA Y PLANES DE SEGURIDAD     En esta fase se analizan los riesgos. La informacin generada por las evaluaciones de la infraestructura organizativa y de informacin se analiza para identificar los riesgos de la empresa Evaluacin de los riesgos en funcin de su impacto en la misin de la organizacin. Estrategia de proteccin para la organizacin y planes de mitigacin frente a los riesgos de toma prioritaria son desarrollados.

CARACTERISTICAS: AUTODIRECCION: un pequeo equipo de personas de la organizacin, participan activamente en el proceso de toma de decisiones. ANALISIS DEL EQUIPO: debe tener conocimiento de la organizacin y sus procesos del negocio. TALLER DE ENFOQUE: CATALOGOS DE INFORMACION: OCTAVE SE BASA EN 3: a. Catlogo de prcticas, coleccin de buenas prcticas de seguridad estratgica y operativa. b. Perfil de riesgo: la gama de amenazas que una organizacin debe tener en cuenta. c. Catlogo de vulnerabilidades: basado en la plataforma y la aplicacin.

Las FASES A SU VEZ SE DIVIDEN EN PROCESOS: Fase 1: Crear activos basados en perfiles de amenazas Proceso 1: Gestin del Conocimiento Identificar Superior Proceso 2: rea de Conocimiento Identificar operativos Proceso 3: Identificar los conocimientos del personal Proceso 4: Crear perfiles de amenaza Fase 2: Identificar las vulnerabilidades de la infraestructura Proceso 5: Identificar los componentes clave Proceso 6: Evaluacin de Componentes seleccionados Fase 3: Desarrollar la estrategia y planes de seguridad Proceso 7: Realizar un anlisis de riesgo Proceso 8: Desarrollar una estrategia de proteccin

PLANIFICACION PARA LA OCTAVA Para que sea exitoso: Conseguir patrocinio alta direccin - Este es el principal factor crtico de xito para las evaluaciones de riesgo para la seguridad de informacin. Cualquier xito de la evaluacin se requiere de tiempo de las personas en la organizacin. Octave es un enfoque basado en talleres que requiere la participacin de los miembros del personal de reas operativas clave y los altos directivos deben participar en la octava. Si los altos directivos apoyan el proceso, personas de la organizacin tienden a participar activamente. Si los directivos no apoyan el proceso, el personal de apoyo para la evaluacin se disipar rpidamente. La gente se pierda los talleres, y el equipo de anlisis no tienen la capacidad de convencer a la gente a asistir. Si la gente sabe que la alta direccin est muy interesada en los resultados de la evaluacin, el equipo de anlisis tendr la autoridad y el respaldo para convencer a la gente a asistir a los talleres. Seleccionar el equipo de anlisis - El equipo de anlisis es el responsable de la gestin del proceso y anlisis de informacin. Los miembros del equipo deben tener conocimientos suficientes para dirigir la evaluacin. Tambin necesitan saber cundo hay que ir fuera del equipo para aumentar sus conocimientos y habilidades. Alcance OCTAVE - La evaluacin debe incluir las reas operativas importantes, pero el alcance no pueden ser demasiado grandes. Si el mbito es muy amplio, ser difcil para el equipo de anlisis para analizar toda la informacin. Si el alcance de la evaluacin es demasiado pequeo, entonces los resultados pueden no ser tan significativos como es debido.

Seleccin de los participantes - Durante los talleres de elicitacin del conocimiento (procesos 1-3), los miembros del personal de varios niveles de la organizacin contribuirn con su conocimiento de la organizacin. Es importante que estas personas puedan comprender sus zonas de operacin. Se debe asignar a los talleres debido a sus conocimientos y habilidades, no slo sobre la base de que est disponible.

ACTIVIDADES DE PLANIFICACIN El objetivo de la planificacin es para asegurarse de que la evaluacin est en el mbito correcto, que los altos directivos de la organizacin de apoyo a la evaluacin, y que todos los participantes en el proceso comprende su papel y reciba una formacin que se requiere. Las siguientes son las actividades de Planificacin OCTAVA:  Obtener el patrocinio de la alta direccin de octava. Las actividades de planificacin para la puesta en OCTAVE con el patrocinio de la alta direccin. Esto podra requerir reuniones informativas a los altos directivos para ayudarles a entender el proceso. Seleccionar los miembros del equipo de anlisis. Los representantes de ambas partes del negocio y tecnologa de la informacin de la organizacin estar en el equipo de anlisis. El tamao del equipo de anlisis es de tres a cinco personas. Los altos directivos deben participar en la seleccin de los miembros del equipo. Adems, es til que algunos de los miembros provienen de las reas operativas que participarn en la evaluacin. Tren de equipo de anlisis. El equipo de anlisis de necesidades para ser entrenados en el mtodo de octava. Cada miembro del equipo de anlisis de necesidades para entender su papel en cada taller. Seleccione las reas operativas para participar en la octava. Una parte clave del proceso de planificacin es la seleccin de las reas operativas que participarn en el mbito de la evaluacin. Los altos directivos deben participar en esta actividad. Seleccionar a los participantes. Los participantes de los talleres de elicitacin del conocimiento (procesos 03/01) deben ser seleccionados. Adems, las personas con habilidades especiales para aumentar el equipo de anlisis en ciertos puntos en el proceso deben ser seleccionados. Los miembros del equipo de anlisis dar lugar a la seleccin de los participantes. Que necesitan para tomar la entrada de los altos directivos, as como los directivos de la de cada una de las reas operativas que participan en la evaluacin. Coordinar la logstica. Los miembros del equipo de anlisis de necesidad de asegurar que los locales, equipos, y cualquier otra informacin de apoyo estn disponibles para todos los talleres. Informar a todos los participantes. El equipo de anlisis debe llevar a cabo una reunin informativa para todos los participantes antes de su participacin en el proceso. Una vez que la planificacin se ha completado, la organizacin est lista para iniciar la evaluacin.

 

Fase 1: Crear activos basados en perfiles de amenazas OCTAVA permite a los tomadores de decisiones establecer prioridades en relacin sobre la base de lo que es importante para la organizacin. Esto implica examinar tanto la prctica de la organizacin y la base tecnolgica instalada para identificar los riesgos de los activos de la organizacin. La evaluacin de riesgos, OCTAVE, involucra a toda la empresa, incluido el personal del departamento de tecnologa de la informacin y las lneas de negocio de la organizacin. Durante la Fase 1, el equipo de anlisis facilita talleres con el personal de varios niveles de la organizacin. Durante estos talleres, los participantes deben identificar los activos importantes y discutir el impacto en la organizacin si los bienes estn en peligro. Estos talleres se llevan a cabo la elicitacin del conocimiento de los siguientes niveles de organizacin: direccin general, gestin de las reas operativas (en el centro de gestin), y el personal. Usted debe notar que los niveles de la organizacin no se mezclan durante los talleres. Adems, el personal de tecnologa de la informacin que normalmente participa en un taller independiente de los miembros del personal en general. El objetivo de los talleres de elicitacin del conocimiento es la identificacin de la siguiente informacin de cada punto de vista organizativo: a. b. c. d. e. Activos importantes y sus valores relativos. Supuestas amenazas a los activos. Los requisitos de seguridad. Las prcticas actuales de proteccin de la estrategia. Vulnerabilidades de la organizacin.

Un activo es algo de valor a la empresa. Los activos pueden incluir informacin (datos), los sistemas, software, hardware, y la gente. El mtodo OCTAVE requiere que los participantes en estos talleres para examinar la prioridad relativa de los activos, con base en el impacto de la organizacin si el activo se pierde. Los participantes debern examinar las amenazas a los activos de mayor prioridad que han identificado. Una amenaza es una indicacin de un evento indeseable. Se refiere a una situacin en la que una persona puede hacer algo indeseable (un hacker de iniciar un ataque de denegacin de servicio contra el servidor de correo electrnico de una organizacin) o un fenmeno natural podra provocar un resultado no deseado (un incendio daar el hardware de una organizacin de tecnologa de informacin). Los participantes crean situaciones de amenaza sobre la base de las fuentes conocidas de la amenaza y los resultados tpicos de la amenaza (del perfil de riesgo). Examinamos a continuacin los participantes los requisitos de seguridad. Los requisitos de seguridad esquema de las cualidades de los activos de informacin que son importantes para una organizacin. OCTAVA requiere que el personal cuenta con los requisitos de seguridad siguientes para cada activo importante:

  

Confidencialidad - la necesidad de mantener informacin confidencial, sensible o personal privado e inaccesible a cualquier persona que no est autorizado a ver Integridad - la autenticidad, exactitud e integridad de un activo Disponibilidad - cundo o con qu frecuencia un activo debe estar presente o listos para su uso

Finalmente, los participantes deben examinar las prcticas actuales de la estrategia de proteccin en relacin con el catlogo de prcticas. Prcticas de seguridad son acciones que ayudan a iniciar, implementar y mantener la seguridad dentro de una empresa. Prcticas se centran en cuestiones estratgicas y operacionales. Una prctica especfica de seguridad normalmente se centra en un pblico especfico. Las audiencias de las prcticas son los administradores, los usuarios (personal en general), y el personal de tecnologa de la informacin. Mientras que las prcticas de seguridad indican lo que una organizacin est haciendo para proteger sus activos, las vulnerabilidades de la organizacin se centran en lo que la organizacin no est haciendo bien. Vulnerabilidades de la organizacin son las debilidades en las polticas de la organizacin o prctica que puede resultar en acciones no autorizadas que ocurren. Durante esta parte del taller, los participantes llenar una encuesta y luego el equipo de anlisis lleva a un debate en torno a las preguntas de la encuesta. Debe tener en cuenta que los resultados de cada taller slo est presente la perspectiva de los participantes de ese nivel de organizacin. Durante el proceso final de la Fase 1, el equipo de anlisis consolida toda la informacin, selecciona los activos crticos de la organizacin, y crea un perfil de riesgo de cada activo crtico. En el resto de esta seccin se resumen los procesos de la Fase 1. LOS PROCESOS DE 1-3 El equipo de anlisis facilita talleres de elicitacin del conocimiento en los procesos de 1-3. La siguiente lista destaca la audiencia de cada uno de los procesos: Proceso 1: Identificar los conocimientos de Direccin - Los participantes en este proceso son los altos directivos de la organizacin. Proceso 2: Identificar los conocimientos operativos rea de Gestin - Los participantes en este proceso son el rea operativa de la organizacin (centro) los administradores. Proceso 3: Identificar los conocimientos del personal - Los participantes en este proceso son los miembros de la organizacin del personal. El personal de tecnologa de la informacin que normalmente participa en un taller independiente de los miembros del personal en general. Las siguientes son las actividades de los procesos de 1-3: Identificar los activos y las prioridades relativas. La primera actividad consiste en identificar los activos de informacin y determinar cules son ms importantes para la empresa. Identificar reas de preocupacin. Los participantes construyen escenarios plausibles esbozar las preocupaciones sobre las amenazas a los activos de informacin importantes. Estas reas

de preocupacin son las probabilidades de carecer de suficientes detalles con respecto a los componentes de la amenaza, y que ser examinada en el Proceso de 4. Identificar los requisitos de seguridad para los activos ms importantes. Los participantes crear y documentar los requisitos de seguridad para cada activo importante con respecto a su confidencialidad, integridad y disponibilidad. Capturar el conocimiento de las prcticas de la estrategia de proteccin y las vulnerabilidades de la organizacin. Los participantes su punto de referencia las prcticas de seguridad en relacin con conocidas buenas prcticas de seguridad. Los resultados de esta evaluacin comparativa identificar las prcticas de proteccin de la actual estrategia de la empresa, as como las vulnerabilidades de la organizacin. PROCESO 4: CREAR PERFILES DE AMENAZA Los participantes en este proceso son los miembros del equipo de anlisis. Durante el Proceso de 4, la informacin obtenida de los diferentes niveles organizativos en los procesos anteriores se agrupa, los activos crticos son elegidos, y un perfil de riesgo se crea para cada activo crtico. Las siguientes son las actividades del Proceso 4: Los activos del Grupo, los requisitos de seguridad, y reas de preocupacin por el nivel de la organizacin. Una visin integrada de los activos de informacin importantes, las reas de inters y los requisitos de seguridad de los activos creados. Seleccione los activos crticos. La informacin agrupada se examina y los activos que son ms crticos para el cumplimiento de los objetivos de la organizacin se identifican. Estos son conocidos como los activos crticos. Refinar los requisitos de seguridad para activos crticos. Los requisitos de seguridad para cada uno de los activos crticos se definen. Todos los requisitos de seguridad pertinentes que se generaron durante los talleres de elicitacin del conocimiento se basa en y refinado. Identificar las amenazas a los activos crticos. Un perfil de riesgo de cada activo crtico se construye. Ellos utilizan el perfil de riesgos bsicos como punto de referencia para crear la gama de escenarios de amenaza que afecta a cada uno de los activos crticos. Si es necesario, el perfil de amenaza bsica se ha ampliado para hacer frente a nuevas fuentes de amenaza. Despus de la vista completa de la organizacin (Fase 1), est listo para pasar a la vista tecnolgica. La fase 2 de OCTAVE examina la infraestructura de la organizacin de tecnologa de la informacin. En la siguiente seccin, se describe la fase 2 de la octava. FASE 2: Identificar las vulnerabilidades de la infraestructura Una evaluacin de la vulnerabilidad es un examen sistemtico de la base tecnolgica de una organizacin para determinar la idoneidad de las medidas de seguridad de la organizacin, identificar las deficiencias de seguridad, proporcionan datos de los que para predecir la eficacia de las medidas de seguridad propuestas, y confirmar la idoneidad de las medidas de seguridad despus de la implementacin.

Una vulnerabilidad es una debilidad en un sistema de informacin, prcticas y procedimientos de seguridad, los controles administrativos, controles internos, la implementacin de la tecnologa, o la disposicin fsica que podra ser explotado para obtener acceso no autorizado a informacin o para interrumpir el procesamiento de informacin. Una seguridad de la informacin de evaluacin de riesgos incluye informacin sobre la vulnerabilidad al mostrar cmo las personas pueden utilizar las vulnerabilidades identificadas para obtener acceso a los activos de la organizacin.

Las vulnerabilidades de la tecnologa se pueden agrupar en las siguientes categorias: Vulnerabilidad de diseo - una vulnerabilidad que es inherente en el diseo o las especificaciones de hardware del sistema o software. Incluso la aplicacin perfecta del diseo puede resultar en una vulnerabilidad de diseo. Vulnerabilidad de ejecucin - una vulnerabilidad que se produce a partir de un software defectuoso, o la aplicacin de hardware de un diseo satisfactorio. Vulnerabilidad de configuracin - una vulnerabilidad derivada de la configuracin del sistema o los errores de administracin. Cada sistema de tecnologa de la informacin o componente tendr muchas vulnerabilidades de la tecnologa especfica contra el cual se pueden comparar. OCTAVA requiere que la tecnologa puede compararse con los de un catlogo de vulnerabilidades. Un catlogo de vulnerabilidades comnmente utilizado es el Common Vulnerabilities and Exposures (CVE) *. CVE es una lista o diccionario que proporciona los nombres comunes de conocimiento pblico vulnerabilities8. Se permite que la informacin abierta y compartida sin ningn tipo de restricciones de distribucin. Evaluaciones de vulnerabilidad de la tecnologa de objetivo debilidades en la base tecnolgica instalada de las organizaciones, incluidos los servicios de red, arquitectura, sistemas operativos y aplicaciones. Las actividades bsicas realizadas durante una evaluacin de la vulnerabilidad de tecnologa son los siguientes: Identificar los principales sistemas de tecnologa de la informacin y sus componentes. Examinar los sistemas y componentes para la tecnologa de las debilidades. El enfoque de una evaluacin de la vulnerabilidad de los sistemas y componentes para identificar y evaluar la configuracin y la fuerza de los dispositivos de la red de la empresa (s). Con el tiempo, muchas herramientas se han desarrollado para poner a prueba los sistemas de sus debilidades. Evaluaciones de la vulnerabilidad a menudo imitan las amenazas conocidas o sospechosas mediante el uso de mtodos y herramientas comunes para poner a prueba los sistemas y componentes y, finalmente, obtener acceso no autorizado.

Hay muchas herramientas de software disponibles para ayudar a automatizar el proceso de evaluacin, incluyendo herramientas para la comprobacin de integridad de archivos, escaneo de virus, proteccin de contrasea, sistema de escaneo, escaneo en red, y la cartografa de la red. Estas herramientas se pueden utilizar durante la fase 2 de la octava a identificar las vulnerabilidades de la tecnologa. En el resto de esta seccin se resumen los procesos de la Fase 2. Proceso 5: Identificar los componentes clave Los participantes en este proceso son el equipo de anlisis y de los miembros seleccionados de la tecnologa de la informacin (TI). Antes del taller, el equipo de anlisis debe asegurar que la documentacin del estado actual de la infraestructura informtica est disponible. Los diagramas de topologa de red que utiliza la organizacin para realizar sus actividades son suficientes para esta actividad. La clave es que la informacin de la topologa de la red debe estar al da. Durante el Proceso 5, los componentes a evaluar las vulnerabilidades de la tecnologa son seleccionados. Las siguientes son las actividades del Proceso 5: Identificar las clases de los componentes clave. El equipo de anlisis y el personal de examinar las rutas de acceso de red en el contexto de escenarios de amenazas para identificar las clases de los componentes clave de los activos crticos. Esto les ayudar a determinar qu clases de componentes son importantes para cada activo importante. Identificar los componentes de la infraestructura para examinar. El equipo de anlisis y personal de TI seleccionar componentes especficos de las clases clave a incluir en la evaluacin de la vulnerabilidad, y determinar un mtodo para llevar a cabo la evaluacin de la vulnerabilidad. Proceso 6: Evaluacin de Componentes seleccionados Los participantes en este proceso son el equipo de anlisis y de los miembros seleccionados del personal de tecnologa de la informacin. Una evaluacin de la vulnerabilidad de tecnologa con el apoyo de herramientas de software se lleva a cabo antes del taller. El equipo de anlisis y personal de TI revisar los resultados de la evaluacin durante el taller. Las siguientes son las actividades del Proceso 6: Ejecutar las herramientas de evaluacin de la vulnerabilidad en los componentes de la infraestructura seleccionada. Una evaluacin de la vulnerabilidad de tecnologa con el apoyo de herramientas de software se lleva a cabo. La evaluacin puede ser realizada por personal de la organizacin de tecnologa de informacin o por expertos externos, en funcin del enfoque que se ha seleccionado durante el proceso 5. La postura de seguridad de los entornos de red debe ser evaluada desde tres perspectivas: fuera de la empresa, dentro de la empresa, y de los sistemas individuales dentro de la empresa. Esto se completa antes del taller. Revisin de las vulnerabilidades de la tecnologa y resumir los resultados. El equipo de anlisis y de los miembros seleccionados del personal de TI revisar las vulnerabilidades de la tecnologa

y crear un resumen de los resultados. Si los expertos externos llevaron a cabo la evaluacin de la vulnerabilidad, entonces ellos tambin deberan participar en el taller. Despus de la organizacin completa de la visin tecnolgica, o la Fase 2 de Octave, que est dispuesta a desarrollar una estrategia de proteccin y planes de mitigacin. Durante la Fase 3 de octava, el equipo de anlisis identifica los riesgos de sus activos crticos, se desarrolla una estrategia de proteccin a la organizacin, y desarrolla planes de mitigacin de los riesgos de los activos crticos. En la siguiente seccin, se describe la fase 3 de octava. FASE 3: Desarrollar la estrategia y planes de seguridad Una vez que los activos, las amenazas y las vulnerabilidades han sido identificadas, una organizacin est en condiciones de analizar la informacin e identificar los riesgos de seguridad de la informacin. El equipo de anlisis dirige el esfuerzo de anlisis de riesgos. El objetivo es determinar cmo las amenazas especficas afectan a los activos especficos. Un riesgo es esencialmente una amenaza, ms los impactos resultantes de la organizacin sobre la base de y y y y Divulgacin de un activo tan importante Modificacin de un activo esencial Prdida o destruccin de un activo esencial Interrupcin del acceso a un activo esencial

Un riesgo es una medida de la prdida esperada en la ausencia de medidas de mitigacin o medidas. Medicin de la prdida, o el impacto, puede ser cualitativa o cuantitativa de la naturaleza. La informacin cualitativa requiere una escala nominal u ordinal. La informacin cuantitativa requiere un cardenal o la relacin escalar. Evaluar los riesgos de seguridad de informacin puede ser ms difcil que evaluar otros tipos de riesgo, porque los datos con respecto a la probabilidad de la amenaza y el valor de los activos son a menudo limitadas. Adems de los factores de riesgo estn cambiando constantemente. Debido a estas limitaciones, muchas organizaciones utilizan mediciones cualitativas en el anlisis de risks10. OCTAVA utiliza medidas cualitativas de impacto en su proceso de anlisis de riesgos.

El anlisis de riesgos en el Mtodo OCTAVE se basa en la planificacin de escenarios. El equipo de anlisis construye una serie de escenarios de riesgo, o un perfil de riesgo, para cada uno de los activos crticos. El perfil de riesgo de un activo esencial comprende el perfil de riesgo de los activos crticos y una descripcin narrativa del impacto resultante (s) a la organizacin. Dado que los datos con respecto a la probabilidad de amenaza se limitan a los escenarios, las probabilidades se supone que son ms o menos iguales. Por lo tanto, el equipo de anlisis establece prioridades en base a los valores de impacto cualitativo asignado a los escenarios. Despus del anlisis de riesgos se ha completado, el objetivo es reducir el riesgo a travs de una combinacin de las siguientes acciones:

y y y

Implementacin de nuevas prcticas de seguridad dentro de la organizacin Tomar las medidas necesarias para mantener las prcticas de seguridad existentes La fijacin de las vulnerabilidades identificadas

Seguridad de la informacin afecta a toda la organizacin. En ltima instancia es un problema de negocios, cuya solucin implica ms que el despliegue de tecnologa de la informacin. Una organizacin debe tener una visin estratgica para hacer frente a sus riesgos de seguridad de la informacin. Una evaluacin de riesgo seguridad de la informacin puede ayudar a una organizacin evaluar la prctica de la organizacin, as como la base tecnolgica instalada y tomar decisiones basadas en el impacto potencial de la organizacin. En el resto de esta seccin se resumen los procesos de la Fase 3. Proceso 7: Realizar un anlisis de riesgo Los participantes en este proceso son los miembros del equipo de anlisis. El objetivo del proceso es crear un perfil de riesgo. Las siguientes son las actividades del Proceso 7: Identificar el impacto de las amenazas a los activos crticos. Un perfil de riesgo se crea para cada activo importante al describir el impacto de cada resultado en el perfil de riesgo (divulgacin, modificacin, prdida / destruccin, y la interrupcin). Crear criterios de evaluacin de riesgos. El equipo de anlisis se establecen los criterios de evaluacin, un punto de referencia por el cual se evalan los impactos. Los Criterios de Evaluacin s Basan en Una Escala cualitativa (alto, Medio, Bajo). Evaluar el impacto de las amenazas a los activos crticos. El equipo de anlisis asigna un valor de impacto para cada descripcin de los resultados utilizando los criterios de evaluacin como punto de referencia.

Proceso 8: Desarrollar Una Estrategia de Proteccin Proceso de 8 incluye dos talleres. Los participantes en el primer taller para el proceso de 8 son los miembros del equipo de anlisis y de determinados miembros de la organizacin (si el equipo de anlisis de decisin para complementar sus habilidades y experiencia para el desarrollo de una estrategia de proteccin). El objetivo del proceso 8 es desarrollar una estrategia de proteccin para los planes de mitigacin de la organizacin, por los riesgos para los activos crticos, y una lista de acciones de acciones a corto plazo. Las siguientes son las actividades del primer taller del proceso 8: Consolidar la informacin de la estrategia de proteccin. La consolidacin de datos debe ser completado antes del taller. Uno o ms miembros del equipo de anlisis se puede consolidar los datos, no se requiere que el trabajo en equipo todo en la consolidacin de los datos. Los resultados de la actividad a las prcticas de seguridad de referencia de los tres primeros procesos de OCTAVE se consolidan, siempre que el equipo de anlisis de informacin sobre las

prcticas de proteccin de la estrategia utilizada actualmente por la organizacin, as como las vulnerabilidades de la organizacin. Crear una estrategia de proteccin. Los miembros del equipo de anlisis de revisar la informacin sobre riesgos y estrategia de proteccin. A continuacin, proponemos una estrategia de proteccin a la organizacin la intencin de mantener las buenas prcticas que estn presentes en la organizacin y para hacer frente a las vulnerabilidades de la organizacin. Crear planes de mitigacin. El equipo de anlisis propone planes de mitigacin para reducir los riesgos de los activos crticos. Crear lista de acciones. Como los miembros del equipo de anlisis desarrollar la estrategia de proteccin y planes de mitigacin, se debe capturar cualquier accin a corto plazo que se identifican. En esta actividad, el equipo de anlisis documenta formalmente los elementos de las acciones en una lista de acciones. En el segundo taller del Proceso 8, el equipo de anlisis se presenta la estrategia de proteccin propuestas, planes de mitigacin, y la lista de acciones a los altos directivos de la organizacin. Los directivos examinar y revisar la estrategia y los planes cuando sea necesario y luego decidir cmo la organizacin se basar en los resultados de la evaluacin. Las siguientes son las actividades de la segunda reunin del Proceso 8: Revisar la informacin de riesgo. El equipo de anlisis proporciona un contexto para los altos directivos, proporcionando un resumen de los perfiles de riesgo de cada activo crtico. Tambin proporcionan un resumen de los resultados de la encuesta de la estrategia de proteccin, las prcticas de seguridad actuales de la organizacin, y las vulnerabilidades de la organizacin. Revisar y perfeccionar la estrategia de proteccin, los planes de mitigacin, y la lista de acciones. El equipo de anlisis se presenta la estrategia de proteccin, los planes de mitigacin de riesgos de los activos crticos, y la lista de acciones. Los directivos que examinar y revisar, cambiar y agregar a ellos segn proceda. Crear los siguientes pasos. Los directivos deciden cmo van a basarse en los resultados de la evaluacin y cmo se puede apoyar una iniciativa de seguridad mejora continua. Despus de que la organizacin ha desarrollado una estrategia de proteccin y planes de mitigacin de riesgos, est listo para su aplicacin. Esto completa el proceso de octava.