analisis de riesgos
TRANSCRIPT
Está desarrollada para la identificación de la falta de controles y el establecimiento de un plan de controles
riesgo La probabilidad de que una amenaza llegue a caecer por una vulnerabilidad
Situación creada por la falta de uno o varios controles, conque la amenaza puede ocurrir
Vulnerabilidad
una (s) personas o casos vistas como posibles fuentes decatástrofe
Conceptos fundamentales
amenazas
Basados en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base a la experiencia acumulada
CualitativasCuantitativas
Diseñadas para producir unalista de riesgos que puedencompararse entre si confacilidad por tener asignadosunos valores numéricos(Basado en un modelo matemáticos)
Tipos de metodologías
OBJETIVOS DEL ANALISIS DE
RIESGOS Analizar el tiempo, esfuerzo y recursos disponibles y
necesarios para atacar los problemas. Llevar a cabo un minucioso análisis de los riesgos y
debilidades. Identificar, definir y revisar los controles de seguridad. Determinar si es necesario incrementar las medidas de
seguridad. Cuando se identifican los riesgos, los perímetros de seguridad
y los sitios de mayor peligro, se pueden hacer el mantenimiento mas fácilmente.
REGULACIONES Y NORMAS QUE TRATAN EL RIESGO
ISO/IEC 27001 • Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI)
ISO/IEC 27005 • Esta Norma proporciona directrices para la Gestión del riesgo de Seguridad de la Información en una Organización. Sin embargo, esta Norma no proporciona ninguna metodología específica para el análisis y la gestión del riesgo de la seguridad de la información.
Basilea II • Estándar internacional que sirva de referencia a los reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios, para asegurar la protección de las entidades frente a los riesgos financieros y operativos.
Ley Sarbanes Oxley (SOX) • Impulsada por el gobierno norteamericano como respuesta a los mega fraudes corporativos que impulsaron Enron, Tyco International, WorldCom y Peregrine Systems. Es un conjunto de medidas tendientes a asegurar la efectividad de los controles internos sobre reportes financieros.