UNIDAD 3. PLANIFICACION DEL PROYECTO DE SOFTWARE 3.3 ANALISIS Y GESTION DEL RIESGO.

El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo. El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados. Este análisis de riesgo es indispensable para lograr una correcta administración del riesgo. La administración del riesgo hace referencia a la gestión de los recursos de la organización. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el riesgo total es: RT (Riesgo Total) = Probabilidad x Impacto Promedio A partir de esta fórmula determinaremos su tratamiento y después de aplicar los controles podremos obtener el Riesgo Residual. Como se describe en el BS ISO / IEC 27001:2005, la evaluación del riesgo incluye las siguientes acciones y actividades. Identificación de los activos Identificación de los requisitos legales y de negocios que son relevantes para la identificación de los activos Valoración de los activos identificados Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad. Identificación de las amenazas y vulnerabilidades importantes para los activos identificados. Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir. Cálculo del riesgo. Evaluación de los riesgos frente a una escala de riesgo preestablecidos. Elementos relacionados Activo. Es un objeto o recurso de valor empleado en una empresa u organización Amenaza. Es un evento que puede causar un incidente de seguridad en una empresa u organización produciendo pérdidas o daños potenciales en sus activos. Vulnerabilidad. Es una debilidad que puede ser explotada con la materialización de una o varias amenazas a un activo. Riesgo. Es la probabilidad de ocurrencia de un evento que puede ocasionar un daño potencial a servicios, recursos o sistemas de una empresa. Análisis. Examinar o descomponer un todo detallando cada uno de los elementos que lo forman a fin de terminar la relación entre sus principios y elementos. Control. Es un mecanismo de seguridad de prevención y corrección empleado para disminuir las vulnerabilidades Proceso de Administración de Riesgo Este proceso administración de riesgo es un proceso continuo dado que es necesario evaluar periódicamente si los riesgos encontrados y si estos tienen una afectación, hay que hacer calculo en las diferentes etapas del riesgo. La mecánica que se ve inversa el mayor número de las organizaciones hoy en día es en el esfuerzo del día a día. Es por eso realizar análisis de riesgo del proyecto referido al proyecto y el impacto futuro en la estructura de riesgo de la organización

NIST SP 800-30: Guía de Gestión de Riesgos de los Sistemas de Tecnología de la Información. la selección de los controles que debemos implementar será la más acertada en el proceso de selección. con objeto de establecer los requerimientos de capital necesarios. Ley Sarbanes Oxley (SOX) • Impulsada por el gobierno norteamericano como respuesta a los mega fraudes corporativos que impulsaron Enron. and Vulnerability Evaluation” Metodología de Análisis y Gestión de Riesgos desarrollada por el CERT. Una vez terminado este proceso se debe documentar toda la información recabada para su análisis posterior. una perspectiva organizacional”. Tyco International. Asset. Sin embargo. principalmente en el proceso de evaluación de los mismos. ISO TR 13335: fue el precursor de la ISO/IEC 27005. NIST SP 800-39 “Gestión de Riesgos de los Sistemas de Información. implementa el método FIRM del Foro de Seguridad de la Información. implementación y control de los riesgos relacionados con tecnología informática y sistemas de información. CRAMM: “CCTA Risk Assessment and Management Methodology” fue originalmente desarrollado para uso del gobierno de UK pero ahora es propiedad de Siemens. Es un conjunto de medidas tendientes a asegurar la efectividad de los controles internos sobre reportes financieros. implantar. Regulaciones y Normas que tratan el riesgo Comunicación “A” 4609 del BCRA para entidades Financieras • Requisitos mínimos de gestión. La importancia de un buen análisis y una buena presentación de los datos analizados nos llevará a una efectiva interpretación de la situación actual de los riesgos y por ende. La herramienta que debemos seleccionar debe contener al menos un módulo de recolección de datos. para asegurar la protección de las entidades frente a los riesgos financieros y operativos. WorldCom y Peregrine Systems. Mehari: Método de Gestión y Análisis de Riesgos desarrollado por CLUSIF (Club de la Sécurité de . PLANIFICACION DEL PROYECTO DE SOFTWARE 3. Basilea II • Estándar internacional que sirva de referencia a los reguladores bancarios. esta Norma no proporciona ninguna metodología específica para el análisis y la gestión del riesgo de la seguridad de la información. es gratuito. Herramientas de apoyo Existen varias herramientas en el mercado con las que se puede uno apoyar a la hora de evaluar los riesgos.3 ANALISIS Y GESTION DEL RIESGO.UNIDAD 3. OCTAVE: “Operationally Critical Threat. ISO/IEC 27001 • Especifica los requisitos necesarios para establecer. Metodologías de Análisis de Riesgos Citicus One: software comercial de Citicus. ahorrando costos en productos y costos de operación además del ahorro de tiempo. de análisis de los mismos y otro de reportes. MAGERIT “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información” está disponible tanto en español como en inglés. mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) ISO/IEC 27005 • Esta Norma proporciona directrices para la Gestión del riesgo de Seguridad de la Información en una Organización.

l'Information Français). AS/NZS: Norma de Gestión de Riesgos publicada conjuntamente por Australia y Nueva Zelanda y ampliamente utilizada en todo el mundo.UNIDAD 3.3 ANALISIS Y GESTION DEL RIESGO. PLANIFICACION DEL PROYECTO DE SOFTWARE 3. .