gestion_riesgos

NORMA TECNICA COLOMBIANA 4114

MICHELL CAMARGOにより

Gestión de Riesgos y Marcos de Referencia

Tania Huertaにより

NIC 19

Lyda Bocarejoにより

Modelo Estructurado

Oscar Saucedo Romeroにより

Modelos Admon

RISK - TI

1.3. Respuesta al riesgo

objetivo asegurar que la respuesta a los riesgos relacionados con las tecnologías de información represente una oportunidad de mejora

prioridades organizacionales

costo-beneficio

1.2. Evaluación del riesgo

objetivo asegurar que los riesgos relacionados con las tecnologías de información sean

presentados

analizados

identificados

1.1. Gobierno del riesgo

objetivo es asegurar que las prácticas relacionadas con la gestión de riesgos de tecnologías de información sean incorporadas en la organización

2. Basado en COBIT y VAL IT

3. Propuesto por ISACA

MEHARI -2010

1. Elementos principales

1.4. Tabla de modelo de impactos

1.3. Evaluación de la calidad del servicio por medio de cuestionarios

1.2. Niveles de calidad de los servicios de seguridad

1.1. Niveles de categorías de controles

2. propuesto por el Club Francés de la Seguridad de la Información, CLUSIF

3. objetivos principales

3.3. Análisis de Riesgos

3.2. Análisis de los Intereses Implicados por la Seguridad

3.1. Realizar un Diagnóstico de Seguridad

4. Esta metodología proporciona una guía de implantación de la seguridad en una entidad a lo largo del ciclo de vida. Del mismo modo, evalúa riesgos en base a los criterios de disponibilidad, integridad y confidencialidad.

AS/NZS4360

1.7. Comunicación y consulta

garantizando una adecuada toma de decisiones

diálogo entre los interesados del proceso de gestión de riesgos

1.6. Monitoreo y revisión

mantiene actualizado el plan de tratamiento y los eventos que pueden ocasionar riesgos

1.5. Tratar riesgos

preparar los planes para su implementación e implementarlos

evaluar dichas opciones

identificar opciones de tratamiento de riesgos

1.4. Evaluar riesgos

permite obtener una lista de prioridades de acción, de acuerdo con los riesgos detectados

1.3. Analizar riesgos

El análisis se puede hacer de forma cuantitativa, cualitativa o semi-cuantitativa

busca clasificar los riesgos de acuerdo con su causa, su consecuencia y su probabilidad de ocurrencia

1.2. Identificar riesgos

busca identificar los eventos que podrían afectar a la organización.

1.1. Establecer el contexto

desarrolla criterios de evaluación y define la estructura para la gestión de riesgos.

busca establecer el contexto de administración de riesgos, buscando identificar roles, responsabilidades y relaciones

Inicia con el establecimiento del contexto organizacional en cuanto a misión, visión, metas y objetivos.

2. guía australiana

3. propuesta generica para la admon de riesto en todo tipo de empresa.

SP 800-39

1.4. Monitoreo de riesgos

1.3. Respuesta a riesgos

implementación de la respuesta a los riesgos.

decisión de la respuesta riesgos

evaluación de alternativas

identificación de la respuesta a riesgos

1.2. Evaluación de riesgos

determinación del riesgo.

identificación de amenazas y vulnerabilidades

1.1. Encuadre de riesgos

prioridades y compensaciones

tolerancia al riesgo

limitaciones de los riesgos

supuestos de riesgos

2. recomendación del NIST

MARGERIT

2. Define cuatro fases

4. Fase 4: Selección de salvaguardas

3. Fase 3: Getión de Riesgo

2. Fase 2: Análisis de Riesgo

1. Fase 1: Planificación

1. El Ministerio de Administraciones Públicas de España promueve

SP800-30

1. Define los siguientes procesos

1.9. resultados

1.8. Recomendaciones de control

1.7. Determinación del riesgo

1.6. Análisis de impacto

1.5. Determinación

1.4. Análisis de controles

1.3. Identificación

1.2. Identificación

1.1. Caracterización

2. guía para la administración de sistemas y tecnologías de información

OCTAVE

1. se define en tres fases

1.3. Fase 3. Estrategia y plan de desarrollo

1.2. Identificar Las Vulnerabilidades De La Infraestructura

1.1. Fase 1: Generar perfiles de activos basados en la amenaza

2. modelo de evaluación de riesgos preferido por Estados unidos

Imagen tomada de: http://www.icesi.edu.co/revistas/index.php/sistemas_telematic a/article/viewFile/1860/2398

Imagen tomada de:
http://www.icesi.edu.co/revistas/index.php/sistemas_telematic
a/article/viewFile/1860/2398

catálogo Magerit

Pautas

1. Tipos de activos

4. Amenazas

3. Criterios de valoración

2. Dimensiones de valoración

5. Controles

se basa en

3. Confidencialidad

2. Integridad

1. Disponibilidad

4. Auntenticidad

5. Trazabilidad

Objetivo

1. apoyar el equipo de getión, con un conjunto de herramientas

catálogo Octave

1. Desarrollado por el Software Engineering Institute de la Carnegie Mellon University

2. Es una recopilación de buenas practicas a nives estratégico y operacional

3. estructura del catálogo

3.2. Prácticas operacionales (OP)

3.1. Prácticas estratégicas (SP)

Herramientas informáticas

5. RSA Archer eGRC

5.1. Apoya la gestión y automatización de procesos para agilizar el flujo de trabajo de los usuarios

4. Open Pages

4.1. Ayuda a reducir las pérdidas y mejora los procesos de negocio debido al manejo de reportes de riesgos estandarizados.

3. Accelus

3.1. Mitiga riesgos a través de diferentes procesos de auditoría y control interno

2. Oracle GRC

2.1. Proporciona un repositorio de procesos, riesgos y controles que ayudan a disminuir los costos de cumplimiento.

1. SAP GRC

1.1. Monitoreo constante de usuarios, accesos y segregación de funciones.

Ciclo de admon

6. Roles

6.4. Administrativos

6.4.1. encargados de las dependencias

6.3. Gerente general.

6.3.1. Es un ejecutivo de alto nivel en la organización

6.2. Chief Information Security Officer (CISO)

6.2.1. profesional encargado de la seguridad de la información

6.1. Chief Information Officer (CIO)

6.1.1. profesional encargado de la gerencia de las tecnologías y sistemas de información