Beruflich Dokumente
Kultur Dokumente
See more
Objetivo: Determinar los riesgos informáticos que se pueden presentar en una empresa.
elementos informáticos. Además, el proceso no solo debe de ser tratado como una función técnica
generada por los expertos en tecnología que operan y administran los sistemas, sino como una
función esencial de administración por parte de toda la organización. Es importante recordar que
el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad, considerando la probabilidad y
la importancia de ocurrencia. Por lo que podemos decir a grandes rasgos que
. El análisis de riesgo informático es un elemento que forma parte del programa de gestión de
continuidad de negocio
Identificación de los requisitos legales y de negocios que son relevantes para la identificación de
los activos. 3.
Valoración de los activos identificados. Teniendo en cuenta los requisitos legales identificados de
negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad. 4.
Cálculo del riesgo. Evaluación de los riesgos frente a una escala de riesgo preestablecidos. Después
de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales
que se identificaron. Las acciones pueden ser: 1.
Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles. 2.
La fórmula para determinar el riesgo total es: RT (Riesgo Total) = Probabilidad x Impacto Promedio
3.
Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero. 4.
Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto se acepta.
ISO/IEC 27001
. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de
Gestión de la Seguridad de la Información (SGSI)
ISO/IEC 27005
. Esta Norma proporciona directrices para la Gestión del riesgo de Seguridad de la Información en
una Organización. Sin embargo, esta Norma no proporciona ninguna metodología específica para
el análisis y la gestión del riesgo de la seguridad de la información.
Basilea II
. Estándar internacional que sirva de referencia a los reguladores bancarios, con objeto de
establecer los requerimientos de capital necesarios, para asegurar la protección de las entidades
frente a los riesgos financieros y operativos.
Impulsada por el gobierno norteamericano como respuesta a los mega fraudes corporativos que
impulsaron Enron, Tyco International, WorldCom y Peregrine Systems. Es un conjunto de medidas
tendientes a asegurar la efectividad de los controles internos sobre reportes financieros.
PCI DSS
. Impulsada por las principales marcas de tarjetas de pago, este estándar busca garantizar la
seguridad de los datos de titulares de tarjetas de pago en su procesado, almacenamiento y
transmisión.
CRAMM
ISO TR 13335
MAGERIT
OCTAVE:
NIST SP 800-39
“Gestión de Riesgos de los Sistemas de Información, una perspectiva organizacional”;
NIST SP 800-30:
Actividad (1)