Please enable JavaScript.
Coggle requires JavaScript to display documents.
Análisis de riesgo informático (Regulaciones y normas que tratan el riesgo…
Análisis de riesgo informático
Comprende identificación
Activos informáticos,
Amenazas
Vulnerabilidades
probabilidad de ocurrencia
el impacto
Información deben ser considerados en el contexto del negocio, y las interrelacionescon otras funciones de negocios
Meta
“proteger a la organización y su habilidad de manejar su misión”
Debe ser:
una función esencial de adminis-
tración por parte de toda la organización.
Es
Es el proceso de identificación, evaluación y toma
de decisiones para reducir el riesgo a un nivel aceptable.
Un elemento que forma parte del programa de gestión de continuidad de negocio (Business Continuity Management)
Es necesario
Necesario identificar si existen controles que ayudan a minimizar la probabilidad de ocurrencia de la vulnerabilidad.
Calcular el impacto en caso que la amenaza se presente
Evaluar el riesgo de tal forma que se pueda priorizar,
Proceso
Genera un documento "matriz de riesgo"
Evaluación del riesgo
Identificación de los activos.
Identificación de los requisitos legales y de negocio que son relevantes para la identificación de los activos.
Valoración de los activos identificados, teniendo en cuenta los requisitos legales y de negocio identificados anteriormente, y el impacto de una pérdida de confidencialidad, integridad y disponibilidad.
Identificación de las amenazas y vulnerabilidades
importantes para los activos identificados.
Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
Cálculo del riesgo.
Evaluación de los riesgos frente a una escala de riesgo preestablecidos.
Acciones respecto a los riesgos residuales que se
identificaron.
Eliminar el riesgo.
Compartir el riesgo.
Controlar el riesgo.
Aceptar el riesgo.
Tipos de riesgos
riesgo residual
riesgo total
Riesgo
RT (Riesgo Total) = Probabilidad x Impacto Promedio
Regulaciones y normas que tratan el riesgo
ISO/IEC 27005
Basilea II
ISO/IEC 27001
Ley Sarbanes Oxley (SOX)
Comunicación “A” 4609 del BCRA para entidades Financieras
PCI DSS
Metodologías de análisis de riesgos
Citicus One
CRAMM
ISO 31000
...
COBIT 5
ITIL: Information Technology Infraestucture Li-
brary