METODOLOGIAS DE GESTION DE RIESGOS (OCTAVE, MAGERIT, DAFP)

Metodologías de Gestión de Riesgos
1. DEFINICIÓN DE RIESGO: El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente
2. ANÁLISIS DE RIESGO: Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización.
3. GESTIÓN DE RIESGO: Selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados.
4. ANÁLISIS Y GESTIÓN: El análisis de riesgos permite determinar cómo es, cuánto vale y cómo de protegidos se encuentran los activos. y la Gestión es permiten elaborar un plan de seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que se acepta
5. INCIDENCIAS Y RECUPERACIÓN: Cuando se produce una incidencia, el tiempo empieza a correr en contra del sistema y la madurez de una organización se refleja en la pulcritud y realismo de su modelo de valor y, consecuentemente, en la idoneidad de las salvaguardas de todo tipo, desde medidas técnicas hasta una óptima organización.
OCTAVE
1. Es una técnica de planificación y consultoría estratégica en seguridad basada en el riesgo.
  1. DESCRIPCIÓN GENERAL: Hay tres métodos OCTAVE y e basan en los criterios del estándar con un enfoque en la práctica y evaluación de la seguridad basada en la información de riesgo estableciendo así los principios fundamentales y los atributos de gestión de riesgos de este método
    1. MÉTODO OCTAVE-S: desarrollado para organizaciones pequeñas alrededor de 100 personas o menos utilizando un proceso simplificado del OCTAVE y más hojas de trabajo diferentes, pero produce el mismo tipo de resultados. Las dos principales diferencias son:
      1. 1. Octave-S requiere un pequeño equipo de 3-5 personas que entienden la amplitud y profundidad de la empresa
      2. 2. Octave-S incluye sólo una exploración limitada de la infraestructura informática
    2. MÉTODO OCTAVE ALLEGRO: Es una variante simplificada del método de Octave que se centra en los activos de la información, es muy apropiado para las personas que desean realizar la evaluación de riesgo sin una amplia participación de la organización o experiencia. Consta de ocho pasos organizados en cuatro fases:
      1. Fase 1 - Evaluación de los participantes desarrollando criterios de medición del riesgo con las directrices de la organización
      2. Fase 2 – Cada uno de los participantes crean un perfil de los activos críticos de información
      3. Fase 3 - Los participantes identifican las amenazas a la información de cada activo en el contexto de sus contenedores.
      4. Fase 4 - Los participantes identifican y analizan los riesgos para los activos de información y empiezan a desarrollar planes de mitigación.
  2. OCTAVE: fue desarrollado teniendo en cuenta grandes organizaciones de 300 ó más empleados. El método utiliza una ejecución en tres fases que examina las cuestiones organizacionales y tecnológicas, monta una visión clara de la organización y sus necesidades de información y seguridad de la misma, centrándose en:
    1. - Identificar los elementos críticos y las amenazas a esos activos
    2. - La identificación de las vulnerabilidades, tanto organizativas y tecnológicas, que exponen a las amenazas, creando un riesgo a la organización.
    3. El desarrollo de una estrategia basada en la protección de prácticas y planes de mitigación de riesgos para apoyar la misión de la organización y las prioridades.
  3. IMPLEMENTACIÓN
  4. CARACTERÍSTICAS Y VENTAJAS: Es dirigido a equipos pequeños de trabajo a través de las unidades de negocio y de TI de la organización, Cada método se puede adaptar a una organización en un único entorno de riesgo, la seguridad, resistencia a los objetivos y el nivel de habilidad.
  5. FASES
    1. VSAN: Valoración de Seguridad de Alto Nivel.
    2. VSA: Valoración de Seguridad de Aplicaciones.
    3. VSR: Valoración de Seguridad de Redes.
    4. VSS: Valoración de Seguridad de Servidores.
    5. VST: Valoración de Seguridad de Telecomunicaciones
MAGERIT
1. Magerit es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, está directamente relacionada con la generalización del uso de las tecnologías de la información, que supone unos beneficios evidentes para los usuarios; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza y permitirá saber cuánto valor está en juego y les ayudará a protegerlo
  1. DESCRIPCIÓN GENERAL DE MAGERIT: Concientizar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.
  2. ORGANIZACIÓN DE LAS GUÍAS: se ha estructurado en tres libros: “El Método”, un "Catálogo de Elementos" y una "Guía de Técnicas"
  3. EVALUACIÓN, CERTIFICACIÓN, AUDITORÍA Y ACREDITACIÓN: El análisis de riesgos es una piedra angular de los procesos de evaluación, certificación, auditoría y acreditación que formalizan la confianza que merece un sistema de información.
COMPARATIVO CON COBIT
1. COBIT en su proceso PO9 "Evaluar y Administrar los Riesgos de IT", recomienda "Crear y dar mantenimiento a un marco de trabajo de administración de riesgos". MAGERIT es una metodología desarrollada en España por el Ministerio de Administraciones Públicas, que estudia los riesgos soportados por los Sistemas de Información para recomendar aquellas medidas más encaminadas a controlar su impacto.
DAFP
1. las entidades de la Administración Pública no pueden ser ajenas al tema de los riesgos y deben buscar cómo manejarlos y controlarlos.
  1. HISTORIA Y EVOLUCIÓN: A través del Decreto 1599 del 20 de mayo del 2005 se adoptó el Modelo Estándar de Control Interno para todas las entidades del Estado de las que habla el artículo 5º de la Ley 87 de 1993
  2. OBJETIVOS DE DAFP: Fortalecer la implementación y desarrollo de la política de la administración del riesgo a través del adecuado tratamiento de los riesgos para garantizar el cumplimiento de la misión y objetivos institucionales de las entidades de la Administración Pública. Asegurar el cumplimiento de normas, leyes y regulaciones.
  3. MARCO CONCEPTUAL: La Administración Pública, al ocuparse de los fenómenos de organización y gestión, no puede ser ajena a las herramientas disponibles y a las nuevas tendencias en administración
  4. METODOLOGÍA: Las entidades de la Administración Pública deben darle cumplimiento a su misión constitucional y legal a través de los objetivos institucionales, los cuales desarrollan programas y proyectos a partir del diseño y ejecución de los diferentes planes.
  5. CONTEXTO ESTRATÉGICO: Para la formulación y operacionalización de la política de administración del riesgo es fundamental tener claridad de la misión institucional, sus objetivos y tener una visión sistémica de la gestión
CONCLUSIONES Y OBSERVACIONES
1. El mejor plan de seguridad se vería seriamente hipotecado sin una colaboración activa de las personas involucradas en el sistema de información, especialmente si la actitud es negativa, contraria o de “luchar contra las medidas de seguridad”.
2. En conclusión, por tanto, podemos afirmar que cualquier metodología de análisis de riesgos conlleva de forma implícita una identificación / inventario de activos, una reflexión sobre el posible catálogo de amenazas que pueden afectar a los mismos, la medición de su impacto y probabilidad de ocurrencia, así como una recomendación final sobre las salvaguardas más apropiadas para minimizar el riesgo.

Anexos de mídia

56582952-51f6-4b09-ac01-21b890ea36b6 (image/png)

Próximo

METODOLOGIAS DE GESTION DE RIESGOS (OCTAVE, MAGERIT, DAFP)

Descrição

Resumo de Recurso

Anexos de mídia

Semelhante

	Criado por Edison Rey quase 8 anos atrás