ADMINISTRACION DE TECNOLOGIAS
DE INFORMACION.
Cumple con los estndares ISO 31000 e ISO 27001, lo que permite usar
terminologa comn y el mismo ciclo de vida de gestin de riesgos
Elemento
Dependencias
Dependencias
entre activos
Valor Estimado
Valor
Amenazas
Calculado
Impacto Probabilidad
Probabilidad de
Impacto
Ocurrencia
Riesgo
Nivel de Riesgo Intrnseco PASOS A SEGUIR:
Nivel de Riesgo
Madurez de
1. Determinar activos
Salvaguardas/ Salvaguardas
Controles Salvaguardas 2. Determinar amenazas
3. Estimar Impactos/probabilidad
Riesgo Mitigado 4. Estimar el coste/criticidad
Nivel de 5. Estimar madurez de salvaguardas
Riesgo Efectivo Riesgo
Riesgo Efectivo
Nivel de Riesgo 6. Clculo de los riesgos
Fundamentos de la Metodologa
La metodologa propuesta tiene en cuenta estas etapas, aunque las agrupa segn la estructura del
estndar ISO 31000.
ESTABLECIMIENTO DE CONTEXTO
COMUNICACIN Y CONSULTA
MONITORIZACIN Y
IDENTIFICACIN DE
ASESORAMIENTO
RIESGOS
DEL RIESGO
REVISIN
ANLISIS DE RIESGOS
EVALUACIN DE RIESGOS
COMMUNICACIN Y CONSULTA
GESTIN DE LA
MONITORIZACIN Y REVISIN
SEGURIDAD
RISK ASSESSMENT
IDENTIFICACIN DE RIESGOS
ANLISIS DE RIESGOS
EVALUACIN DE RIESGOS
IMPLEMENTACIN
ACTUACIN TREAT RISKS
MEDICIN
Resumen de las etapas
A. Establecimiento de Contexto
Activos
Amenazas
Tiempos
B. Identificacin de Riesgos
Situaciones de Riesgo
C. Anlisis de Riesgos
Impacto
Probabilidad
Criticidad
Nivel de Necesidad de Salvaguardas
D. Evaluacin de Riesgos
Riesgo Intrnseco
Riesgo Reducido
Riesgo Efectivo
A. Establecimiento de Contexto
Activos: todos aquellos bienes, espacios, procesos y cualquier otro elemento
de consideracin que sea susceptible de sufrir las consecuencias de una
amenaza.
Proceso de Seleccin e Identificacin de Activos:
Analizar los procesos clave de la organizacin/instalacin considerada
Listado de los activos requeridos por estos procesos
Identificar, enumerar y clasificarlos entre 9 categoras adoptadas de
MAGERIT II
Identificar la ubicacin fsica de los activos considerados
Tipos de Activos:
Tipos de Activos Fsicos considerados
Escenarios
Tipos de Activos Lgicos considerados
Servicios Datos/informacin
Aplicaciones (Software) Equipos Informticos (Hardware)
Redes de Comunicaciones Soportes de informacin
A. Establecimiento de Contexto
Amenazas: Contingencias o riesgos especficos de los activos
analizados, dependientes de su del entorno y circunstancias, cuya
potencial materializacin debe ser baremada.
El Anlisis de Riesgos Fsicos y Lgicos unificado se simplifica, utilizando escalas cualitativas para
los parmetros considerados.
Los resultados con la nueva metodologa han sido validados y comprobados respecto a los
obtenidos con la metodologa tradicional, mantenindose la coherencia y la experiencia acumulada
con las metodologas usadas previamente.
IMPACTO
MA Impacto Muy Alto/Muy Grave o Severo para la Organizacin
A Impacto Alto/Grave para la Organizacin
M Impacto Medio/Moderado/Importante para la Organizacin
B Impacto Bajo/Menor para la Organizacin
MB Impacto Muy Bajo/Irrelevante para la Organizacin
C. Anlisis de Riesgos- Parmetros
para cada Situacin de Riesgo
Probabilidad de Ocurrencia de Riegos Lgicos: suele basarse en estudios
estadsticos sobre la materializacin de sucesos, averas o amenazas.
Riesgo Reducido: Nivel de Riesgo o medida del dao probable sobre un sistema, una vez
consideradas las salvaguardas que pudieran proteger a ste.
Tabla especfica/matriz de
* clculo
Fin