Please enable JavaScript.
Coggle requires JavaScript to display documents.
Metodología de Gestión de Riesgos: NIST 800-30, ANGÉLICA TAMAYO VANEGAS,…
Metodología de Gestión de Riesgos:
NIST 800-30
Concepto
Es un documento especial publicado por el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos. Su título completo es "Guide for Conducting Risk Assessments" (Guía para realizar evaluaciones de riesgos). Este documento proporciona una metodología y pautas detalladas para que las organizaciones realicen evaluaciones de riesgos de seguridad de la información de manera efectiva y sistemática.
Objetivos
Establecer prioridades en la mitigación de riesgos
Ayuda a determinar qué riesgos son más significativos y requieren una atención inmediata. Permitiendo a las organizaciones priorizar sus recursos y esfuerzos para abordar los riesgos más críticos primero.
Mejorar la seguridad de la información
Al identificar y abordar proactivamente los riesgos, las organizaciones pueden reducir la probabilidad de incidentes de seguridad y proteger mejor sus activos de información.
Apoyar la toma de decisiones informadas
La guía proporciona información valiosa para que las organizaciones puedan seleccionar e implementar medidas adecuadas de seguridad.
Promover buenas prácticas de seguridad
promover el uso de buenas prácticas y estándares reconocidos para evaluar y gestionar riesgos. Al seguir esta guía, las organizaciones pueden alinearse con enfoques probados y aceptados en la industria.
Identificar y comprender riesgos de seguridad de la información
Esto incluye la identificación de amenazas potenciales, vulnerabilidades y las posibles consecuencias adversas de la materialización de un riesgo.
Apoyar el cumplimiento normativo
Ayuda a cumplir con requisitos regulatorios y normativos relacionados con la gestión de riesgos de seguridad de la información.
Facilitar la evaluación sistemática de riesgos
proporcionar una metodología y pautas claras que faciliten a las organizaciones llevar a cabo evaluaciones de riesgos de manera sistemática y estructurada. Considerando adecuadamente una amplia gama de factores y se identifiquen los riesgos relevantes.
Componentes
Estimación de Probabilidad
Se determina la probabilidad de que una amenaza en particular aproveche una vulnerabilidad específica y cause un daño significativo.
Análisis de Riesgos
Integrando la información sobre amenazas, vulnerabilidades, impacto y probabilidad, se realiza una evaluación integral de los riesgos presentes en la organización.
Estimación de Impacto
Se evalúa el impacto potencial que podría tener la materialización de un riesgo en los activos de información y en la operación general de la organización.
Tratamiento de Riesgos
Se establecen estrategias y medidas para manejar los riesgos identificados. Estas medidas pueden incluir mitigación, transferencia, aceptación o evitación del riesgo.
Identificación de Vulnerabilidades
Se identifican las vulnerabilidades presentes en los activos de información y en la infraestructura. Estas vulnerabilidades pueden ser puertas de entrada para que las amenazas exploten y causen daño.
Implementación de Controles
Se implementan los controles necesarios para reducir la probabilidad de ocurrencia y el impacto de los riesgos
Evaluación de Amenazas
Identificar y analizar las amenazas que pueden afectar los activos de información. Esto puede incluir amenazas internas y externas, como ciberataques, desastres naturales, errores humanos, entre otros.
Monitoreo y Revisión
Es esencial mantener una supervisión constante de los riesgos, ya que el panorama de seguridad está en constante cambio. Se revisan y actualizan regularmente las evaluaciones de riesgos y los controles implementados.
Identificación de Activos de Información
Se identifican todos los activos de información relevantes para la organización, incluyendo datos, sistemas, infraestructura, personas, procesos, etc.
Comunicación y Consulta
La comunicación efectiva con todas las partes interesadas es crucial para garantizar que comprendan los riesgos y las acciones tomadas para abordarlos
Contexto y Alcance
Se define el contexto y alcance del proceso de gestión de riesgos. Esto implica identificar los activos de información críticos y las áreas de la organización que serán incluidas en la evaluación de riesgos.
Documentación y Reportes
Todo el proceso de gestión de riesgos debe documentarse adecuadamente para mantener un registro histórico y facilitar la toma de decisiones futuras.
Análisis de Riesgos
Estimación de Probabilidad
Se determina la probabilidad de que una amenaza específica aproveche una vulnerabilidad particular y cause un daño significativo. Esto puede involucrar el análisis de datos históricos, tendencias y experticia.
Análisis de Riesgos
Integrando la información sobre amenazas, vulnerabilidades, impacto y probabilidad, se realiza una evaluación integral de los riesgos presentes en la organización
Estimación de Impacto
Se evalúa el impacto potencial que podría tener la materialización de un riesgo en los activos de información y en la operación general de la organización
Priorización de Riesgos
Aquellos riesgos con mayores consecuencias y probabilidad más alta deben recibir una atención prioritaria en la mitigación.
Identificación de Vulnerabilidades
Se identifican las vulnerabilidades presentes en los activos de información y en la infraestructura
Identificación de Amenazas
Se identifican y documentan las posibles amenazas que podrían afectar los activos de información de la organización.
Identificación de Activos de Información
El proceso comienza identificando todos los activos de información relevantes para la organización, incluyendo datos, sistemas, infraestructura, personal, procesos, etc.
Selección de Medidas de Mitigación
Medidas de mitigación para abordar los riesgos prioritarios. Estas medidas pueden incluir la implementación de controles de seguridad, políticas, procedimientos, entre otros.
Evaluación de Costo-Beneficio
Se evalúa el costo y el beneficio de implementar las medidas de mitigación propuestas. Esto ayuda a determinar la viabilidad de cada medida y a asignar recursos de manera eficiente
Informe de Resultados
Los resultados del análisis de riesgos se documentan adecuadamente en un informe que comunica los riesgos identificados, las medidas de mitigación propuestas y las acciones recomendadas.
Clasificación de riesgos
Según impacto
Medio (Moderate)
El riesgo tiene un impacto moderado en la organización, lo que podría resultar en ciertas pérdidas financieras, interrupciones operativas de nivel medio o posibles daños a la reputación
Bajo (Low)
El riesgo tiene un impacto limitado en la organización, con consecuencias menores en términos de pérdidas financieras, interrupciones operativas menores o daños limitados a la reputación.
Alto (High)
El riesgo tiene un impacto significativo en la organización y puede resultar en pérdidas financieras importantes, daño a la reputación, interrupción grave de operaciones o incumplimiento de regulaciones importantes.
Insignificante (Negligible)
El riesgo tiene un impacto insignificante o nulo en la organización, lo que significa que no tiene un efecto significativo en la mayoría de los casos.
Según probabilidad
Media (Medium)
Existe una probabilidad moderada de que la amenaza explote la vulnerabilidad y cause el evento no deseado.
Baja (Low)
La probabilidad de que la amenaza explote la vulnerabilidad y cause el evento no deseado es baja, aunque es posible que ocurra en ciertas condiciones específicas.
Alta (High)
Existe una alta probabilidad de que la amenaza explote la vulnerabilidad y cause el evento no deseado.
Insignificante (Remote)
La probabilidad de que la amenaza explote la vulnerabilidad y cause el evento no deseado es extremadamente baja, casi improbable.
Impacto
Cumplimiento normativo y regulatorio
la aplicación de la guía puede ayudar a las organizaciones a cumplir con requisitos normativos y regulatorios relacionados con la gestión de riesgos de seguridad de la información.
Prevención de pérdidas financieras y daño a la reputación
al usar la guía las organizaciones pueden evitar o reducir las posibles pérdidas financieras y proteger su reputación
Apoyo a la toma de decisiones informadas
permite a las organizaciones tomar decisiones informadas sobre cómo gestionar los riesgos identificados
Fomento de buenas prácticas de seguridad
Al seguir esta guía, las organizaciones pueden alinear sus esfuerzos de seguridad con enfoques probados y aceptados
Mejora de la ciberseguridad
llevar a cabo análisis de riesgos, las organizaciones pueden identificar y abordar proactivamente los riesgos de seguridad de la información
Capacitación y concienciación
NIST 800-30 proporciona una base sólida para capacitar al personal de la organización en materia de gestión de riesgos y ciberseguridad.
Marco de referencia estándar
proporciona una metodología y pautas estandarizadas para realizar evaluaciones de riesgos de seguridad de la información
ANGÉLICA TAMAYO VANEGAS
2C Redes - Nocturna