0 оценок0% нашли этот документ полезным (0 голосов)
235 просмотров5 страниц
ISO 27001 especifica los requisitos para establecer un sistema de gestión de riesgos de seguridad de la información. La evaluación de riesgos es la parte más compleja e importante de la implementación de ISO 27001. La inteligencia artificial puede ayudar a mitigar riesgos como ataques cibernéticos y errores de software mediante la detección y reparación automática de vulnerabilidades y la predicción de ciberataques.
Исходное описание:
Inteligencia Artificial Aplicada a La Gestión de Riesgo
Оригинальное название
Inteligencia Artificial Aplicada a La Gestión de Riesgo
ISO 27001 especifica los requisitos para establecer un sistema de gestión de riesgos de seguridad de la información. La evaluación de riesgos es la parte más compleja e importante de la implementación de ISO 27001. La inteligencia artificial puede ayudar a mitigar riesgos como ataques cibernéticos y errores de software mediante la detección y reparación automática de vulnerabilidades y la predicción de ciberataques.
ISO 27001 especifica los requisitos para establecer un sistema de gestión de riesgos de seguridad de la información. La evaluación de riesgos es la parte más compleja e importante de la implementación de ISO 27001. La inteligencia artificial puede ayudar a mitigar riesgos como ataques cibernéticos y errores de software mediante la detección y reparación automática de vulnerabilidades y la predicción de ciberataques.
• ISO 27001 ISO/IEC 27001 es un estándar para la seguridad de la información. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI). • Gestión de riesgo La gestión de riesgo se divide en dos partes fundamentales que son la evaluación y tratamiento de riesgo. La Evaluación del Riesgo (a menudo llamado Análisis de Riesgo) es probablemente la parte más compleja de la implementación ISO 27001; pero a la vez la evaluación (y tratamiento) del riesgo es el paso más importante al comienzo de su proyecto de seguridad de la información – establece las bases para la seguridad de la información en una compañía. ISO 27001 permite encontrar cuáles incidentes pueden ocurrir (evaluando los riesgos) y encontrar las maneras más apropiadas para evitar dichos incidentes (tratamiento de los riesgos). No sólo eso, también tiene que evaluar la importancia de cada riesgo para que pueda enfocarse en los más importantes. 6 pasos básicos para la gestión de riesgo 1. Metodología de evaluación del riesgo: Define las reglas para llevar a cabo la gestión de riesgo y que realice de manera uniforme en toda la organización. Por lo tanto, usted necesita definir si quiere una evaluación cualitativa o cuantitativa del riesgo, cuáles escalas se usarán para la evaluación cualitativa, cuál será el nivel aceptable de riesgo, etc. 2. Implementación de evaluación del riesgo: Inicia al listar todos sus recursos, luego las amenazas y vulnerabilidades relacionadas con esos recursos, evaluar el impacto y probabilidad de ocurrencia para cada combinación de recursos/amenazas/vulnerabilidades y finalmente calcular el nivel de riesgo. 3. Implementación del tratamiento del riesgo: Por supuesto, no todos los riesgos tienen el mismo origen por lo tanto debe enfocarse en los más importantes, llamados riesgos “no aceptables”. Existen cuatro opciones que usted puede escoger para mitigar cada riesgo “no aceptable”: • Aplicar controles de seguridad del Anexo A para disminuir el riesgo • Transfiera el riesgo a otras personas – e. a la compañía aseguradora comprando una póliza de seguros. • Evite el riesgo al detener la ejecución de la actividad que es muy riesgosa, o al hacerla de una manera completamente diferente. • Acepte el riesgo – si, por ejemplo, el costo de la atenuación del riesgo es mayor que el daño en sí. 4. Reporte de evaluación del riesgo del SGSI: Requiere documentar todo lo que ha hecho hasta ahora. 5. Declaración de aplicabilidad: Este documento realmente muestra el perfil de seguridad de una compañía – basado en los resultados del tratamiento de riesgos usted necesita hacer una lista de todos los controles que ha implementado, por qué se implementó y cómo se hizo. 6. Plan para el tratamiento de riesgos Definir exactamente quién va a implementar cada control, cuándo, con cuál presupuesto, etc • Participación de la inteligencia artificial La IA provee herramientas y técnicas que permiten mitigar riesgos dentro del plan de tratamiento de riesgos. Ataques cibernéticos (defensa contra hackers) y errores / fallas de software La necesidad de sistemas que puedan buscar y reparar estos errores y vulnerabilidades, así como defenderse contra ataques entrantes, ha crecido en los últimos años. • ForAllSecure , es el "primer sistema extremo a extremo para la generación de exploits totalmente automática " puede encontrar y determinar si el error es explotable. Los errores en el software que pueden causar resultados inesperados, comportamiento o posibles fallas de seguridad. • Desde el punto de vista predictivo, el Laboratorio de Inteligencia Artificial e Informática (CSAIL) del MIT y la startup de aprendizaje automático PatternEx recientemente desarrollaron una plataforma de inteligencia artificial llamada AI2 que afirman predice los ciberataques significativamente mejor que los sistemas existentes mediante la incorporación continua de aportes de expertos humanos. • El sistema AI2 primero realiza un escaneo automático del contenido con técnicas de aprendizaje automático(machine learning) y luego informa los resultados a los analistas humanos que tienen que discriminar los eventos relacionados con los ciberataques.
4 - Objetivos de La Gestión de Riesgos. Términos Principales - Análisis de Riesgos Enfoque, Estrategias de Tratamiento, Puntos Claves para El Éxito, Proceso - Evaluación de Riesgos y Tratam