Categoría: Análisis y Gestión de Riesgo

ISO 31000

La ISO 31000 «Gestión de Riesgos Empresariales»: Si bien todas la organizaciones gestionan el riesgo en cierta medida, la norma ISO 31000:2009 establece una serie de principios que deben ser satisfechos para hacer una gestión eficaz del riesgo. Esta Norma

Etiquetado con:

Tipos de Metodologías de Análisis de Riesgo

MAGERIT (se basa en el RIESGO): es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen de

Etiquetado con: , ,

Identificación de Vulnerabilidades

Una vulnerabilidad es toda aquella circunstancia o característica de un activo que permite la materialización de ataques que comprometen la confidencialidad, integridad o disponibilidad del mismo. Por ejemplo, un equipo será vulnerable a los virus si no tiene un programa

Etiquetado con: , ,

Identificar Amenazas

Denominamos amenaza a un evento o incidente provocado por una entidad natural, humana o artificial que, aprovechando una o varias vulnerabilidades de un activo, pone en peligro la confidencialidad, la integridad o la disponibilidad de ese activo. Dicho de otro

Etiquetado con: , ,

Preparación del análisis de riesgos

La preparación de un análisis de riesgo consiste en: Detectar los incidentes Analizar el incidente Métodos Reactivos Detectar el incidente: cuando realizamos la auditoría la pregunta estándar a realizar es: muéstreme los incidentes más significativos. Cuando localizamos el incidente por ejemplo fuga de

Etiquetado con: ,

ANÁLISIS DE IMPACTO Y ANÁLISIS DE RIESGOS

Se llama análisis de impactoal ejercicio de pensar en las consecuencias de que haya un incidente, accidental o deliberado. O sea, responder preguntas del tipo: ¿qué pasaría si se revela un dato confidencial? ¿Qué pasaría si manipulan nuestra información? ¿Qué

Actuar (Act): Mantener y mejorar el SGSI

La organización deberá regularmente: Implantar en el SGSI las mejoras identificadas. Realizar las acciones preventivas y correctivas adecuadas en relación a la cláusula 8 de la norma ISO 27001 y a las lecciones aprendidas de las experiencias propias y de

Etiquetado con: ,

Controlar (Check): Monitorizar y revisar el SGSI

La organización deberá: Ejecutar procedimientos de monitorización y revisión para: La detección temprana de errores en los resultados generados por los procesos. La identificación temprana de brechas e incidentes de seguridad. Capacitar a la dirección para determinar si las actividades

Etiquetado con: ,

(Hacer) DO: Implementar y utilizar el SGSI

Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información. Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos

Etiquetado con: ,

Definición e implementación (PLAN)

Plan: Establecer el SGSI Definir el alcance del SGSI en términos del negocio, la organización, su localización, activos y tecnologías, incluyendo detalles y justificación de cualquier exclusión. Definir una política de seguridad que: Incluya el marco general y los objetivos

Top