2:49
Villarrealino
La identificación del riesgo de TI es aquel proceso que nos permite determinar de una manera más exacta la exposición de una empresa o negocio a un riesgo o pérdida. Para definir un riesgo es necesario conocer su causa, que es la que va a determinar la existencia de éste y si puede afectar a la empresa o no. Al considerar la identificación de riesgos, debemos asumir el punto de vista más amplio posible. Es necesario determinar no sólo aquellos riesgos que son susceptibles de asegurar o controlar; sino también, tratar de detallar todas las formas posibles en que los activos de la entidad pueden ser dañados y las formas en que su capacidad de generar ganancia pueda ser afectada. Es decir, debemos reconocer todas las posibilidades de pérdida de la entidad.
El gerente de riesgos debe ser capaz de analizar la actividad que se realiza en cada etapa del proceso operativo y determinar cómo cada actividad puede resultar potencialmente peligrosa para el resto del proceso. Asimismo, debe estudiar la interrelación de las actividades propias con la de entidades ajenas que influyen o pudieran influir en su empresa, ya sea por una relación comercial, la vecindad u otra causa.
También es importante identificar todo bien o interés de la empresa, ya que los riesgos siempre se relacionan con éstos. Una vez analizados los aspectos fundamentales de la etapa de Identificación podemos definir ésta como: Análisis, caracterización de los riesgos y establecimiento de las relaciones entre el riesgo y/o las causas que los originan.
METODOLOGÍA DE ANÁLISIS DE RIESGOS
A continuación se enumeran las metodologías más conocidas de análisis y gestión de riesgo.
La mayoría de ellas constan de documentos que desarrollan los conceptos necesarios y luego se especifican los pasos a ser llevados a cabo para realizar el relevamiento completo. Algunas de ellas también disponen de planillas, matrices, tableros y reportes de ejemplos que pueden utilizarse como base.
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) se encuentra disponible gratuitamente (en inglés) y es un conjunto de herramientas, técnicas y métodos para desarrollar análisis de riesgos basados en gestión y la planeación estratégica de la organización.
Son todas las acciones que necesitan ser llevadas a cabo dentro de la organización para realizar la gestión de activos, conocer posibles amenazas y evaluar vulnerabilidades.
Otras metodologías conocidas son:
• MAGERIT, es gratuita y se encuentra disponible en español
• Meharit, desarrollada por CLUSIF (Club de la Sécurité de l’Information Français). Es gratuita y se encuentra disponible en varios idiomas
• METRICA3 específica para desarrollo de software (Software Life Cycle Processes)
Desarrollada en español y gratuita
• EAR y Pilar ambas en español y gratuitas
• The Security Risk Management Guide de Microsoft, en inglés y gratuita
• COBRA, con costo y en inglés
• Callio, con costo y en inglés
Todas estas metodologías están disponibles en la sección de Políticas de Segu-Info y se debe tener en cuenta que las mismas pueden ser implementadas en cualquier organización, pero cada una deberá realizar un análisis pormenorizado para adaptar el modelo a la organización que se trate…
Deseas saber más?
DESCARGAR
DESCARGAR
Entradas
0 comentarios:
Publicar un comentario