2. ¿Que es el análisis de riesgos?
El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos,
sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de
ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar,
disminuir, transferir o evitar la ocurrencia del riesgo.
Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o
administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del
impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles,
para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad
con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los
recursos objetos de riesgo.
3.
4. ¿Qué es GxSGSI?
GxSGSI es una solución completa de gestión del análisis de riesgos, que permite la identificación y
valoración de las amenazas, vulnerabilidades, e impactos; el cálculo del riesgo intrínseco y residual; la
adopción de las contramedidas y los controles, necesarios para la certificación de un Sistema de Gestión
de Seguridad de la Información, bajo las normas ISO 27001 e ISO 27002.
5. ¿Que hace la aplicación GxSGSI?
La aplicación GxSGSI le ayudará a:
● Establecer un método sistemático y repetible para analizar los riesgos que afectan a los activos
de su empresa.
● Identificar y planificar las medidas necesarias para la gestión de riesgos.
● Preparar a la organización para los procesos de evaluación, auditoría, certificación o
acreditación, según cada caso.
6. Características
● Ha sido diseñado para automatizar, agilizar y realizar por completo el análisis de riesgos de seguridad de una
organización.
● Su versatilidad de configuración le permite trabajar con multitud de revisiones.
● Es multiempresa.
● Reduce el tiempo y de captura de datos hasta en un 80%
● Genera todos los informes requeridos en una auditoría de certificación ISO 27001 en cuestión de minutos.
● Las empresas desarrolladoras han recibido la certificación en Seguridad de la Información bajo la UNE 71502:2004 e ISO
27001 (SI-0016/06 y SI-0019-06).
● No es necesario un alto nivel de cualificación en seguridad para poder gestionar el programa.
● Proporciona una base sólida para diseñar cualquier plan de continuidad ante desastres.
7. GxSGSI le permitirá realizar:
● Inventario de activos
● Cálculo de dependencias
● Valoración de activos
● Identificación y valoración de las amenazas
● Identificación y valoración de las vulnerabilidades del sistema en función de la frecuencia y su relación con las
amenazas.
● Relacionar las amenazas y vulnerabilidades con los activos.
● Selección de controles (SOA) y contramedidas asociadas a las amenazas
8. Estructura de GxSGSI
● Empresa. Permite crear múltiples empresas, realizar diferentes revisiones del análisis de riesgos, gestionar los usuarios y sus
permisos, codificar los diferentes informes generados, y establecer las áreas de trabajo, los dominio, el personal y los procesos.
● Tablas. Incluye las guías de valoración, valores de amenazas y vulnerabilidades, tablas de riesgos, valoración de impactos, y fases del
ciclo de vida de desarrollo del sistema.
● Normas. Se establecen las políticas, objetivos, controles y contramedidas.
● Análisis de riesgos. Permite realizar el inventario de activos, la valoración de los mismos en función del impacto que supondría para
la empresa un incidente relacionado con el CID, seleccionar y valorar las amenazas y vulnerabilidades que afectan a los activos
identificados, calcular el riesgo intrínseco, definir y justificar los controles y medidas aplicables, calcular el riesgos residual resultante de
la aplicación de las contramedidas, y generar los informes en formato pdf necesarios relativos al análisis de riesgos.
● Incidencias. Permite la identificación, definición, notificación y gestión de las incidencias.
● Soportes. Permite la identificación, definición, clasificación y registro de las entradas y salidas de soportes.
9. Donde hemos sacado la información
http://www.sigea.es/category/c80-herramientas/c35-gxsgsi/