SlideShare una empresa de Scribd logo

Metodo de analisis de riesgos, Magerit

Descargar como PPTX, PDF
Andrea Lorena Dávila Gómez
Andrea Lorena Dávila Gómez

Presentación sobre el método de análisis de riesgos según MAGERIT - Versión 3.0

Ingeniería
1 de 9
Fase 1. Reconocer Modelos de Seguridad Informática Universidad Nacional Abierta y a Distancia UNAD Especialización en Seguridad Informática Modelos y estándares de Seguridad Informática Andrea Lorena Dávila Gómez 2018
Pasos para el análisis de riesgos basado en MAGERIT (3.0) “MAGERIT implementa el Proceso de Gestión de Riesgos dentro de un marco de trabajo para que los órganos de gobierno tomes decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la información” (Magertit 3.0 1,4.Magerit, pág,7.) Cuando una empresa quiere implementar su SGSI, MAGERIT sirve como referencia y método de análisis de los riesgos, sin embargo no es la única metodología aceptada para tal fin, ya que incluso la organización puede establecer su propia metodología, llegando a unos resultados muy similares si hubiese usado MAGERIT u otro método. De acuerdo con MAGERIT 3.0, se siguen unos pasos para poder llegar a una determinación de riesgos bastante aceptable, los pasos a seguir son los que se explican a continuación:
Método de análisis de Riesgo (MAGERIT 3.0) 1. Determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación. Los activos son todo aquello que le generan valor a una organización y son valorados de acuerdo a su función o contenido, siendo la información actualmente el activo más valioso. Dentro de los activos se pueden encontrar no solo datos (información) sino servicios, software, recursos de comunicación, personal de la organización ( que se hace importante en la medida en que maneje información confidencial o crítica), recursos físicos, tecnologías, habilidades de las personas, instalaciones,etc. Como ejemplo podemos mencionar que para una empresa de diseño, las fotos tomadas pueden tener más valor que una hoja de cálculo donde llevan un registro de herramientas de software usadas para edición. Los activos se identifican de acuerdo a la información que manejan y los servicios que prestan (activos esenciales). Los activos se deben: valorar, es decir, si se puede o no prescindir de ellos para el correcto funcionamiento de la organización. Dimensionar: que tanto se afectarían los tres pilares de la seguridad de la información (CID) si algo les ocurre.
Método de análisis de Riesgo (MAGERIT 3.0) 2. Determinar a qué amenazas están expuestos aquellos activos. Una amenaza es algo o alguien que puede causar un daño a la información o a la empresa. En este paso se deben identificar todas las posibles fuentes que amenacen a los activos del paso 1. Entre las amenazas mas comunes se pueden encontrar: Naturales: inundaciones, tormentas eléctricas, terremotos, etc. Entorno: fallas eléctricas, contaminación, explosiones por calderas, etc. Aplicaciones defectuosas: vulnerabilidades, que son las debilidades del sistema o infraestructura (pueden ser malas configuraciones también). Errores humanos (accidentales): cuando por error se manipula el activo o por omisión. Errores humanos (cometidos con premeditación): cuando las personas que tienen acceso a la información la manipulan de forma intencional ya sea para beneficio propio o de terceros, causando daños en la organización.
2. Determinar a qué amenazas están expuestos aquellos activos. Aquí en este punto se debe:  Valorar las amenazas: que tan probable o que tan frecuente es que la amenaza se materialice.  Determinar el impacto potencial: es la medida del impacto cuando una amenaza se ha materializado.  Determinar el riesgo potencial: riesgo es la probabilidad de que algo o alguien cause un daño en la organización y a su información. En este paso se pueden diferencias zonas de riesgo (matriz de riesgo): o Zona 1 (franja roja): riesgos muy probables que tienen un gran impacto de ser materializados. o Zona 2 (franja amarilla): aquí se sitúan desde riesgos improbables de mediano impacto a riesgos muy probables pero con un impacto bajo o muy bajo. o Zona 3 (franja verde): se encuentran aquí los riesgos muy poco probables y con un bajo impacto si se materializan. o Zona 4 (franja naranja): aquí podemos ubicar los riesgos muy poco probables pero que generarían un alto impacto en la organización si se llegan a materializar.
Método de análisis de Riesgo (MAGERIT 3.0) 3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo. Las salvaguardas son los mecanismos tecnológicos que permiten minimizar la materialización de un riesgo. Estas salvaguardas están determinadas según el tipo de activo a proteger, ya que no es lo mismo proteger un equipo de cómputo que una persona especializada en una disciplina. Aquí en este paso se debe realizar la elección de las salvaguardas a aplicar, teniendo en cuenta el tipo de activo, las amenazas y las dimensiones de seguridad que requieren protección. En este punto, se establece la declaración de aplicabilidad ya que no todas las salvaguardas son aplicables dentro de la organización. Para saber cuán eficaces son las salvaguardas, se debe tener en cuenta desde si es técnicamente ideal para el riesgo para el cual fue usada hasta si los usuarios están capacitados y con toma de conciencia frente a los riesgos. Aquí se debe medir si las salvaguardas están implantadas de una forma ideal y si son idóneas.
Método de análisis de Riesgo (MAGERIT 3.0) 4. Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza. Impacto residual. Aquí se tiene en cuenta las salvaguardas implementadas y la madurez del proceso de gestión, dando como resultado un nuevo nivel de impacto (residual). El impacto residual se puede definir como el impacto persistente después de la aplicación de medidas para mitigar las consecuencias negativas dentro del sistema.
Método de análisis de Riesgo (MAGERIT 3.0) 5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza. Riesgo residual: es todo riesgo que persiste después de aplicadas las salvaguardas y controles. Es un riesgo remanente que queda después de que se han implementado de una forma eficaz los controles. (Rodríguez,I.,2014) Es de aclarar que nunca una empresa u organización va a estar 100% protegida frente a los riesgos, ya que dia a día salen nuevos peligros.
Bibiografía Magerit. (2012). Versión 3,0. Madrid: Ministerio de Administraciones Públicas, Secretaría General Técnica, pp.22-35. Rodríguez,I. (2014). Auditool. Red global de conocimientos en auditoría y control interno. Recuperado de https://www.auditool.org/blog/control-interno/3073- que-es-el-riesgo-riesgo-inherente-y-riesgo-residual

Recomendados

Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERIT
Jaime Barrios Cantillo
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
Andres Soto Suarez
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
Abby Ramirez
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacion
Denis Rauda
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octave
Andres Soto Suarez
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
simondavila
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
jralbornoz
 
Compare and Contrast Security Controls and Framework Types
Compare and Contrast Security Controls and Framework TypesCompare and Contrast Security Controls and Framework Types
Compare and Contrast Security Controls and Framework Types
LearningwithRayYT
 

Recomendados

Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERIT
Jaime Barrios Cantillo
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
Andres Soto Suarez
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
Abby Ramirez
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacion
Denis Rauda
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octave
Andres Soto Suarez
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
simondavila
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
jralbornoz
 
Compare and Contrast Security Controls and Framework Types
Compare and Contrast Security Controls and Framework TypesCompare and Contrast Security Controls and Framework Types
Compare and Contrast Security Controls and Framework Types
LearningwithRayYT
 
Pilares de la seguridad informática
Pilares de la seguridad informáticaPilares de la seguridad informática
Pilares de la seguridad informática
PEDRO OSWALDO BELTRAN CANESSA
 
CISSP Chapter 1 Risk Management
CISSP Chapter 1 Risk ManagementCISSP Chapter 1 Risk Management
CISSP Chapter 1 Risk Management
Karthikeyan Dhayalan
 
Magerit
MageritMagerit
Magerit
Krolina Agui
 
Gestión de riesgos
Gestión de riesgos Gestión de riesgos
Gestión de riesgos
Alpha Consultoria
 
Business Continuity (ISO22301) is relevant to PCI DSS v3.2.1 【Continuous Study】
Business Continuity (ISO22301) is relevant to PCI DSS v3.2.1 【Continuous Study】Business Continuity (ISO22301) is relevant to PCI DSS v3.2.1 【Continuous Study】
Business Continuity (ISO22301) is relevant to PCI DSS v3.2.1 【Continuous Study】
Jerimi Soma
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
Alexander Calderón
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
Pedro Garcia Repetto
 
ISO Update Webinar_Spanish1.20.2023.pdf
ISO Update Webinar_Spanish1.20.2023.pdfISO Update Webinar_Spanish1.20.2023.pdf
ISO Update Webinar_Spanish1.20.2023.pdf
AmyPoblete3
 
Beginner's Guide to SIEM
Beginner's Guide to SIEM Beginner's Guide to SIEM
Beginner's Guide to SIEM
AlienVault
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
Francisco Medina
 
Cybersecurity Capability Maturity Model (C2M2)
Cybersecurity Capability Maturity Model (C2M2)Cybersecurity Capability Maturity Model (C2M2)
Cybersecurity Capability Maturity Model (C2M2)
Maganathin Veeraragaloo
 
IBM QRadar Security Intelligence Overview
IBM QRadar Security Intelligence OverviewIBM QRadar Security Intelligence Overview
IBM QRadar Security Intelligence Overview
Camilo Fandiño Gómez
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
Freddy Fernando Cajamarca Sarmiento
 
ISO 27005 Risk Assessment
ISO 27005 Risk AssessmentISO 27005 Risk Assessment
ISO 27005 Risk Assessment
Smart Assessment
 
Introduction to FAIR - Factor Analysis of Information Risk
Introduction to FAIR - Factor Analysis of Information RiskIntroduction to FAIR - Factor Analysis of Information Risk
Introduction to FAIR - Factor Analysis of Information Risk
Osama Salah
 
Information Security Risk Management
Information Security Risk ManagementInformation Security Risk Management
Information Security Risk Management
Nikhil Soni
 
Information Security Risk Management
Information Security Risk ManagementInformation Security Risk Management
Information Security Risk Management
Onur Yuksektepeli
 
IBM Qradar
IBM QradarIBM Qradar
IBM Qradar
Coenraad Smith
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud Computing
Gabriel Marcos
 
Measuring DDoS Risk using FAIR (Factor Analysis of Information Risk
Measuring DDoS Risk using FAIR (Factor Analysis of Information RiskMeasuring DDoS Risk using FAIR (Factor Analysis of Information Risk
Measuring DDoS Risk using FAIR (Factor Analysis of Information Risk
Tony Martin-Vegue
 
Cesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos magerit
Cesar Velez
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
MICHELCARLOSCUEVASSA
 

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Pilares de la seguridad informática
Pilares de la seguridad informáticaPilares de la seguridad informática
Pilares de la seguridad informática
 
CISSP Chapter 1 Risk Management
CISSP Chapter 1 Risk ManagementCISSP Chapter 1 Risk Management
CISSP Chapter 1 Risk Management
 
Magerit
MageritMagerit
Magerit
 
Gestión de riesgos
Gestión de riesgos Gestión de riesgos
Gestión de riesgos
 
Business Continuity (ISO22301) is relevant to PCI DSS v3.2.1 【Continuous Study】
Business Continuity (ISO22301) is relevant to PCI DSS v3.2.1 【Continuous Study】Business Continuity (ISO22301) is relevant to PCI DSS v3.2.1 【Continuous Study】
Business Continuity (ISO22301) is relevant to PCI DSS v3.2.1 【Continuous Study】
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
 
ISO Update Webinar_Spanish1.20.2023.pdf
ISO Update Webinar_Spanish1.20.2023.pdfISO Update Webinar_Spanish1.20.2023.pdf
ISO Update Webinar_Spanish1.20.2023.pdf
 
Beginner's Guide to SIEM
Beginner's Guide to SIEM Beginner's Guide to SIEM
Beginner's Guide to SIEM
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
 
Cybersecurity Capability Maturity Model (C2M2)
Cybersecurity Capability Maturity Model (C2M2)Cybersecurity Capability Maturity Model (C2M2)
Cybersecurity Capability Maturity Model (C2M2)
 
IBM QRadar Security Intelligence Overview
IBM QRadar Security Intelligence OverviewIBM QRadar Security Intelligence Overview
IBM QRadar Security Intelligence Overview
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
ISO 27005 Risk Assessment
ISO 27005 Risk AssessmentISO 27005 Risk Assessment
ISO 27005 Risk Assessment
 
Introduction to FAIR - Factor Analysis of Information Risk
Introduction to FAIR - Factor Analysis of Information RiskIntroduction to FAIR - Factor Analysis of Information Risk
Introduction to FAIR - Factor Analysis of Information Risk
 
Information Security Risk Management
Information Security Risk ManagementInformation Security Risk Management
Information Security Risk Management
 
Information Security Risk Management
Information Security Risk ManagementInformation Security Risk Management
Information Security Risk Management
 
IBM Qradar
IBM QradarIBM Qradar
IBM Qradar
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud Computing
 
Measuring DDoS Risk using FAIR (Factor Analysis of Information Risk
Measuring DDoS Risk using FAIR (Factor Analysis of Information RiskMeasuring DDoS Risk using FAIR (Factor Analysis of Information Risk
Measuring DDoS Risk using FAIR (Factor Analysis of Information Risk
 

Similar a Metodo de analisis de riesgos, Magerit

METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
MICHELCARLOSCUEVASSA
 
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Unidad de Emprendimiento ambulante
 
Segunf ud1 2
Segunf ud1 2Segunf ud1 2
Segunf ud1 2
macase
 

Similar a Metodo de analisis de riesgos, Magerit (20)

Cesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos magerit
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
 
Actividad no 3
Actividad no 3Actividad no 3
Actividad no 3
 
Análisis y Evaluación de Riesgos
Análisis y Evaluación de RiesgosAnálisis y Evaluación de Riesgos
Análisis y Evaluación de Riesgos
 
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
 
Universidad ecci gestion de trabajo 3
Universidad ecci gestion de trabajo 3Universidad ecci gestion de trabajo 3
Universidad ecci gestion de trabajo 3
 
Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790
 
Actividad 3 Métodos de evaluación del riesgo.
Actividad 3 Métodos de evaluación del riesgo.Actividad 3 Métodos de evaluación del riesgo.
Actividad 3 Métodos de evaluación del riesgo.
 
Métodos para la evaluación integral de riesgos
Métodos para la evaluación integral de riesgosMétodos para la evaluación integral de riesgos
Métodos para la evaluación integral de riesgos
 
Actividad 3 unidad 2
Actividad 3 unidad 2Actividad 3 unidad 2
Actividad 3 unidad 2
 
Métodos de evaluación integral de riesgos
Métodos de evaluación integral de riesgosMétodos de evaluación integral de riesgos
Métodos de evaluación integral de riesgos
 
Segunf ud1 2
Segunf ud1 2Segunf ud1 2
Segunf ud1 2
 
Administración de Riesgos Informáticos
Administración de Riesgos InformáticosAdministración de Riesgos Informáticos
Administración de Riesgos Informáticos
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgos
 
Métodos de evaluación de riesgos
Métodos de evaluación de riesgosMétodos de evaluación de riesgos
Métodos de evaluación de riesgos
 
Actividad 3 métodos para la evaluación integral de riesgos
Actividad 3 métodos para la evaluación integral de riesgosActividad 3 métodos para la evaluación integral de riesgos
Actividad 3 métodos para la evaluación integral de riesgos
 
Metodos de evaluacion del riesgo actv nro. 3
Metodos de evaluacion del riesgo actv nro. 3Metodos de evaluacion del riesgo actv nro. 3
Metodos de evaluacion del riesgo actv nro. 3
 
Metodos de evaluacion de riesgos
Metodos de evaluacion de riesgosMetodos de evaluacion de riesgos
Metodos de evaluacion de riesgos
 
Seguridad
Seguridad Seguridad
Seguridad
 

Último

El abecedario constituye el conjunto de grafías que son utilizadas para repre...
El abecedario constituye el conjunto de grafías que son utilizadas para repre...El abecedario constituye el conjunto de grafías que son utilizadas para repre...
El abecedario constituye el conjunto de grafías que son utilizadas para repre...
MarjorieDeLeon12
 
matematicas en la ingenieria de la construccion
matematicas en la ingenieria de la construccionmatematicas en la ingenieria de la construccion
matematicas en la ingenieria de la construccion
alberto891871
 
BOTAnica mesias orland role.pptx1 ciclo agropecuaria
BOTAnica mesias orland role.pptx1 ciclo agropecuariaBOTAnica mesias orland role.pptx1 ciclo agropecuaria
BOTAnica mesias orland role.pptx1 ciclo agropecuaria
mesiassalazarpresent
 
tema-6.4-calculo-de-la-potencia-requerida-para-transporte-de-solidos-.pptx
tema-6.4-calculo-de-la-potencia-requerida-para-transporte-de-solidos-.pptxtema-6.4-calculo-de-la-potencia-requerida-para-transporte-de-solidos-.pptx
tema-6.4-calculo-de-la-potencia-requerida-para-transporte-de-solidos-.pptx
DianaSG6
 
Algebra, Trigonometria y Geometria Analitica.pdf
Algebra, Trigonometria y Geometria Analitica.pdfAlgebra, Trigonometria y Geometria Analitica.pdf
Algebra, Trigonometria y Geometria Analitica.pdf
frankysteven
 
MODULO DE MATEMATICAS BÁSICAS universidad UNAD.pdf
MODULO DE MATEMATICAS BÁSICAS universidad UNAD.pdfMODULO DE MATEMATICAS BÁSICAS universidad UNAD.pdf
MODULO DE MATEMATICAS BÁSICAS universidad UNAD.pdf
frankysteven
 

Último (20)

Joseph juran aportaciones al control de la calidad
Joseph juran aportaciones al control de la calidadJoseph juran aportaciones al control de la calidad
Joseph juran aportaciones al control de la calidad
 
Deilybeth Alaña - Operaciones Básicas - Construcción
Deilybeth Alaña - Operaciones Básicas - ConstrucciónDeilybeth Alaña - Operaciones Básicas - Construcción
Deilybeth Alaña - Operaciones Básicas - Construcción
 
CONTROL DE MOTORES DE CORRIENTE ALTERNA PPT
CONTROL DE MOTORES DE CORRIENTE ALTERNA PPTCONTROL DE MOTORES DE CORRIENTE ALTERNA PPT
CONTROL DE MOTORES DE CORRIENTE ALTERNA PPT
 
El abecedario constituye el conjunto de grafías que son utilizadas para repre...
El abecedario constituye el conjunto de grafías que son utilizadas para repre...El abecedario constituye el conjunto de grafías que son utilizadas para repre...
El abecedario constituye el conjunto de grafías que son utilizadas para repre...
 
matematicas en la ingenieria de la construccion
matematicas en la ingenieria de la construccionmatematicas en la ingenieria de la construccion
matematicas en la ingenieria de la construccion
 
14. DISEÑO LOSA ALIGERADA MOD G VOLADO.pdf
14. DISEÑO LOSA ALIGERADA MOD G VOLADO.pdf14. DISEÑO LOSA ALIGERADA MOD G VOLADO.pdf
14. DISEÑO LOSA ALIGERADA MOD G VOLADO.pdf
 
habilidad para el manejo de estación total.pdf
habilidad para el manejo de estación total.pdfhabilidad para el manejo de estación total.pdf
habilidad para el manejo de estación total.pdf
 
Análisis Combinatorio ,EJERCICIOS Y PROBLEMAS RESUELTOS
Análisis Combinatorio ,EJERCICIOS Y PROBLEMAS RESUELTOSAnálisis Combinatorio ,EJERCICIOS Y PROBLEMAS RESUELTOS
Análisis Combinatorio ,EJERCICIOS Y PROBLEMAS RESUELTOS
 
Efecto. Fotovoltaico y paneles.pdf
Efecto. Fotovoltaico y paneles.pdfEfecto. Fotovoltaico y paneles.pdf
Efecto. Fotovoltaico y paneles.pdf
 
BOTAnica mesias orland role.pptx1 ciclo agropecuaria
BOTAnica mesias orland role.pptx1 ciclo agropecuariaBOTAnica mesias orland role.pptx1 ciclo agropecuaria
BOTAnica mesias orland role.pptx1 ciclo agropecuaria
 
Tasaciones Ñuñoa - La Reina - Las Condes
Tasaciones Ñuñoa - La Reina - Las CondesTasaciones Ñuñoa - La Reina - Las Condes
Tasaciones Ñuñoa - La Reina - Las Condes
 
Instalación de GLPI en Debian Linux paso a paso
Instalación de GLPI en Debian Linux paso a pasoInstalación de GLPI en Debian Linux paso a paso
Instalación de GLPI en Debian Linux paso a paso
 
problemas consolidación Mecánica de suelos
problemas consolidación Mecánica de suelosproblemas consolidación Mecánica de suelos
problemas consolidación Mecánica de suelos
 
Mecánica de fluidos 1 universidad continental
Mecánica de fluidos 1 universidad continentalMecánica de fluidos 1 universidad continental
Mecánica de fluidos 1 universidad continental
 
Presentación PISC Préstamos ISC Final.pdf
Presentación PISC Préstamos ISC Final.pdfPresentación PISC Préstamos ISC Final.pdf
Presentación PISC Préstamos ISC Final.pdf
 
tema-6.4-calculo-de-la-potencia-requerida-para-transporte-de-solidos-.pptx
tema-6.4-calculo-de-la-potencia-requerida-para-transporte-de-solidos-.pptxtema-6.4-calculo-de-la-potencia-requerida-para-transporte-de-solidos-.pptx
tema-6.4-calculo-de-la-potencia-requerida-para-transporte-de-solidos-.pptx
 
Flujograma de gestión de pedidos de usuarios.
Flujograma de gestión de pedidos de usuarios.Flujograma de gestión de pedidos de usuarios.
Flujograma de gestión de pedidos de usuarios.
 
Algebra, Trigonometria y Geometria Analitica.pdf
Algebra, Trigonometria y Geometria Analitica.pdfAlgebra, Trigonometria y Geometria Analitica.pdf
Algebra, Trigonometria y Geometria Analitica.pdf
 
DESVIACION
DESVIACION DESVIACION
DESVIACION
 
MODULO DE MATEMATICAS BÁSICAS universidad UNAD.pdf
MODULO DE MATEMATICAS BÁSICAS universidad UNAD.pdfMODULO DE MATEMATICAS BÁSICAS universidad UNAD.pdf
MODULO DE MATEMATICAS BÁSICAS universidad UNAD.pdf
 

Metodo de analisis de riesgos, Magerit

  • 1. Fase 1. Reconocer Modelos de Seguridad Informática Universidad Nacional Abierta y a Distancia UNAD Especialización en Seguridad Informática Modelos y estándares de Seguridad Informática Andrea Lorena Dávila Gómez 2018
  • 2. Pasos para el análisis de riesgos basado en MAGERIT (3.0) “MAGERIT implementa el Proceso de Gestión de Riesgos dentro de un marco de trabajo para que los órganos de gobierno tomes decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la información” (Magertit 3.0 1,4.Magerit, pág,7.) Cuando una empresa quiere implementar su SGSI, MAGERIT sirve como referencia y método de análisis de los riesgos, sin embargo no es la única metodología aceptada para tal fin, ya que incluso la organización puede establecer su propia metodología, llegando a unos resultados muy similares si hubiese usado MAGERIT u otro método. De acuerdo con MAGERIT 3.0, se siguen unos pasos para poder llegar a una determinación de riesgos bastante aceptable, los pasos a seguir son los que se explican a continuación:
  • 3. Método de análisis de Riesgo (MAGERIT 3.0) 1. Determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación. Los activos son todo aquello que le generan valor a una organización y son valorados de acuerdo a su función o contenido, siendo la información actualmente el activo más valioso. Dentro de los activos se pueden encontrar no solo datos (información) sino servicios, software, recursos de comunicación, personal de la organización ( que se hace importante en la medida en que maneje información confidencial o crítica), recursos físicos, tecnologías, habilidades de las personas, instalaciones,etc. Como ejemplo podemos mencionar que para una empresa de diseño, las fotos tomadas pueden tener más valor que una hoja de cálculo donde llevan un registro de herramientas de software usadas para edición. Los activos se identifican de acuerdo a la información que manejan y los servicios que prestan (activos esenciales). Los activos se deben: valorar, es decir, si se puede o no prescindir de ellos para el correcto funcionamiento de la organización. Dimensionar: que tanto se afectarían los tres pilares de la seguridad de la información (CID) si algo les ocurre.
  • 4. Método de análisis de Riesgo (MAGERIT 3.0) 2. Determinar a qué amenazas están expuestos aquellos activos. Una amenaza es algo o alguien que puede causar un daño a la información o a la empresa. En este paso se deben identificar todas las posibles fuentes que amenacen a los activos del paso 1. Entre las amenazas mas comunes se pueden encontrar: Naturales: inundaciones, tormentas eléctricas, terremotos, etc. Entorno: fallas eléctricas, contaminación, explosiones por calderas, etc. Aplicaciones defectuosas: vulnerabilidades, que son las debilidades del sistema o infraestructura (pueden ser malas configuraciones también). Errores humanos (accidentales): cuando por error se manipula el activo o por omisión. Errores humanos (cometidos con premeditación): cuando las personas que tienen acceso a la información la manipulan de forma intencional ya sea para beneficio propio o de terceros, causando daños en la organización.
  • 5. 2. Determinar a qué amenazas están expuestos aquellos activos. Aquí en este punto se debe:  Valorar las amenazas: que tan probable o que tan frecuente es que la amenaza se materialice.  Determinar el impacto potencial: es la medida del impacto cuando una amenaza se ha materializado.  Determinar el riesgo potencial: riesgo es la probabilidad de que algo o alguien cause un daño en la organización y a su información. En este paso se pueden diferencias zonas de riesgo (matriz de riesgo): o Zona 1 (franja roja): riesgos muy probables que tienen un gran impacto de ser materializados. o Zona 2 (franja amarilla): aquí se sitúan desde riesgos improbables de mediano impacto a riesgos muy probables pero con un impacto bajo o muy bajo. o Zona 3 (franja verde): se encuentran aquí los riesgos muy poco probables y con un bajo impacto si se materializan. o Zona 4 (franja naranja): aquí podemos ubicar los riesgos muy poco probables pero que generarían un alto impacto en la organización si se llegan a materializar.
  • 6. Método de análisis de Riesgo (MAGERIT 3.0) 3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo. Las salvaguardas son los mecanismos tecnológicos que permiten minimizar la materialización de un riesgo. Estas salvaguardas están determinadas según el tipo de activo a proteger, ya que no es lo mismo proteger un equipo de cómputo que una persona especializada en una disciplina. Aquí en este paso se debe realizar la elección de las salvaguardas a aplicar, teniendo en cuenta el tipo de activo, las amenazas y las dimensiones de seguridad que requieren protección. En este punto, se establece la declaración de aplicabilidad ya que no todas las salvaguardas son aplicables dentro de la organización. Para saber cuán eficaces son las salvaguardas, se debe tener en cuenta desde si es técnicamente ideal para el riesgo para el cual fue usada hasta si los usuarios están capacitados y con toma de conciencia frente a los riesgos. Aquí se debe medir si las salvaguardas están implantadas de una forma ideal y si son idóneas.
  • 7. Método de análisis de Riesgo (MAGERIT 3.0) 4. Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza. Impacto residual. Aquí se tiene en cuenta las salvaguardas implementadas y la madurez del proceso de gestión, dando como resultado un nuevo nivel de impacto (residual). El impacto residual se puede definir como el impacto persistente después de la aplicación de medidas para mitigar las consecuencias negativas dentro del sistema.
  • 8. Método de análisis de Riesgo (MAGERIT 3.0) 5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza. Riesgo residual: es todo riesgo que persiste después de aplicadas las salvaguardas y controles. Es un riesgo remanente que queda después de que se han implementado de una forma eficaz los controles. (Rodríguez,I.,2014) Es de aclarar que nunca una empresa u organización va a estar 100% protegida frente a los riesgos, ya que dia a día salen nuevos peligros.
  • 9. Bibiografía Magerit. (2012). Versión 3,0. Madrid: Ministerio de Administraciones Públicas, Secretaría General Técnica, pp.22-35. Rodríguez,I. (2014). Auditool. Red global de conocimientos en auditoría y control interno. Recuperado de https://www.auditool.org/blog/control-interno/3073- que-es-el-riesgo-riesgo-inherente-y-riesgo-residual