Академический Документы
Профессиональный Документы
Культура Документы
Metodologa de trabajo
Controles de seguridad evaluados
Control de acceso
Concientizacin y entrenamiento
Auditoria y asignacin de responsabilidades
Administracin de configuraciones
Planes de contingencia
Identificacin y autenticacin
Respuesta a incidentes
Mantenimiento
Planeacin
Seguridad personal
Evaluacin de riesgos
Adquisicin de sistemas y servicios
Proteccin de sistemas y comunicaciones
Integridad de sistemas de informacin
Controles de seguridad de acuerdo a NIST Instituto Nacional de Estndares y Tecnologa de estados
unidos de Amrica, La misin del Instituto es promover la innovacin y la competitividad de la industria
en base a la medicin, estndares y la tecnologa en formas que mejoren la seguridad de la informacin
Metodologa de trabajo
Actores y tcnicas utilizadas
Rol
Tcnicas
Descripcin
Seguridad SAP
Cuestionario de evaluacin de
riesgos
Entrevistas
Revisin de documentacin
Seguridad Informtica
Auditoria Interna
Jurdico
Telecomunicaciones
Auditoria Externa
Auditor de seguridad
Basis
*OCTAVE.- (Operationally Critical Threat, Asset, and Vulnerability Evaluation) es una suite de herramientas, tcnicas y
mtodos basados en riesgo sobre la seguridad de la informacin, evaluacin estratgica y la planificacin de CertUit,
OCTAVE fue desarrollado por el equipo de respuesta a incidentes (CERT) en Estados Unidos.
*ISO27000.- ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo- por ISO (International
Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de
gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o
pequea.
Metodologa de trabajo
Criterio de Narrativa de impacto
Impacto
Descripcion
Alto
Medio
Bajo
Metodologa de trabajo
Calculo del riesgo
Probabilidad
Descripcin
Alto
Existen muchos motivos para que se de la amenaza y es fcil de explotar, los controles de
seguridad son ineficientes o no existen.
Medio
Existen motivos para que se de la amenaza y no es tan fcil de explotar, algunos controles de
seguridad se encuentran en sitio y pudieran impedir que se explote una vulnerabilidad.
Bajo
Escala de riesgo: Alto (>50 a 100), Medio (10 a 50), Bajo (1 a 10).
Metodologa de trabajo
Detallada
Metodologa de trabajo
Ejemplo de matriz de evaluacion de riesgos final
Metodologa de trabajo
Ejemplo de resultados de evaluacion del riesgo
ur
M ad
ez
trol
n
o
c
as
Orientado a
om
d
n
cliente
ma
Orientado a
To
Servicio *
Controlado
Orientado a
tecnologia
Motivado
r
Tecnolgi
co
Ad hoc
Disponibilidad
Utilizaci
n de
estndar
es
comunes:
COBIT,
ISO
27001
Baselines
Eficiencia
para
produccin
Administr
acin de
riesgos
aplicada
a los
servicios
que
ofrece el
rea de
TI
Definir
desempeo
Administr
acin de
riesgos
especifica
para
clientes
(cuales
son los
riesgos
para
nuestros
clientes)
SLA
Traducir
peticiones
del cliente
Orientado a
Negocios
Administr
acin de
riesgos
enfocada
en la
relacin
del
mercado
y la
industria
Contribuir
activamente
Lo mas apropiado para ISM debera de ser alcanzar una madurez orientada al cliente para apoyar sus
objetivos de negocio
SIGUIENTES PASOS
Crear matriz de seguimiento para la remediacin del riesgo no aceptado por la alta direccin
BACKUP