1. Selección e implantación de medidas de seguridad adecuadas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados
2. METODOLOGÍAS
2.1. COBIT 5
2.1.1. Entender los controladores, beneficios y audiencia desde una perspectiva de riesgo.
2.1.2. Controladores. Stakeholders con opiniones consistentes, guía sobre cómo manejar riesgos en niveles.
2.1.3. Beneficios. Guía end-to-end, vision más precisa de los riesgos y su impacto, oportunidades de integración con IT.
2.1.4. Define los procesos, flujos de información, estructuras organizacionales y las personas y sus habilidades involucradas en el manejo de riesgos.
2.2. Risk Management Framework (RMF)
2.2.1. Acercamiento basado en el riesgo que considera la efectividad, eficiencia y conflictos en las leyes aplicables, directivas, órdenes ejecutivas, políticas, estándares y regulaciones.
2.2.2. Categorizar el sistema de información y la información procesada, basada en un análisis de impacto.
2.2.3. Seleccionar una configuración base inicial del sistema de información y los controles de seguridad de acuerdo a la categorización y las condiciones locales y de riesgo.
2.2.4. Implementar los controles de seguridad y documentar cómo se distribuyen en el ambiente de operación y los sistemas de información.
2.2.5. Evaluar los controles de seguridad para determinar si estos han sido implementados correctamente y operan como se ha planeado.
2.2.6. Autorizar el funcionamiento de los sistemas de información con base en el nivel de riesgo para las organizaciones, sus individuos y los activos organizados, considerando la decisión de que el riesgo sea aceptable.
2.2.7. Monitorear y evaluar los controles de seguridad seleccionados en el sistema de información basándose en su efectividad de los controles, documentando los cambios al sistema o al ambiente de operación mediante análisis de impactos de seguridad.
2.3. ISO 31000:2009
2.3.1. Provee principios y lineamientos genéricos para cualquier tipo de riesgo, sin importar su naturaleza, dentro de una organización y sus actividades, como operaciones, estrategias, decisiones, servicios y productos.
2.3.2. No promueve un manejo uniforme entre organizaciones: el diseño e implementación del manejo de riesgos debe tomar en cuenta las necesidades específicas de la organización, en particular sus objetivos, contexto y estructura empleados.
2.3.3. Su finalidad es armonizar los procesos de manejo de riesgos tanto con estándares existentes como con los futuros. Su finalidad principal es la certificación.
2.4. OCTAVE
2.4.1. Conjunto de métodos utilizado para la evaluación de las necesidades de la seguridad de la información. Los métodos son auto-dirigidos, flexibles y pueden evolucionar.
2.4.2. Requiere del trabajo en conjunto de IT y pequeños equipos de los distintos departamentos de negocio. La evaluación de la tecnología dentro de la organización se hace como una unidad de negocio también.
2.4.3. Se divide en 4 fases:
2.4.3.1. Desarrollar un criterio de medición del riesgo con base en la misión, objetivos y factores de éxito críticos de la organización.
2.4.3.2. Crear un perfil de cada evaluación de información crítica estableciendo límites claros para la evaluación, identificar los requerimientos de seguridad, así como sus contenedores.
2.4.3.3. Identificar amenazas en cada evaluación de acuerdo al contexto de los contenedores.
2.4.3.4. Reconocer y analizar riesgos en las evaluaciones y comenzar a desarrollar aproximaciones que disminuyan dichos riesgos.
3. Daniel Chacón Limón
4. Gestión de Riesgos de Sistemas
5. CONCEPTOS
5.1. CIO (Chief Information Officer)
5.1.1. Trabajo ejecutivo normalmente otorgado a la persona en una compañía a cargo de la estrategia de las Tecnologías de la Información (IT) y los sistemas computacionales requeridos para ayudar a los objetivos y metas únicos de la organización
5.2. Vulnerabilidad
5.2.1. Defecto o debilidad en el diseño, implementación u operación de un sistema que habilita o facilita la materialización de una amenaza
5.3. Activo
5.3.1. Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización
5.4. Riesgo
5.4.1. Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización
5.5. Valor de Activos
5.5.1. Estimación del coste inducido por la materialización de una amenaza
5.6. Amenaza
5.6.1. Causa potencial de un incidente que puede causar daños a un sistema de información o a una organización
5.7. Ataque
5.7.1. Intento de destruir, exponer, alterar o inhabilitar un sistema de información o la información que el sistema maneja, o violar alguna política de seguridad de alguna otra manera
5.8. Contramedida de Seguridad
5.8.1. Procedimiento o mecanismo tecnológico que reduce el riesgo
5.9. Análisis del Riesgo
5.9.1. Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización.
5.10. Impacto
5.10.1. Consecuencia que sobre un activo tiene la materialización de una amenaza
5.11. Degradación
5.11.1. Pérdida de valor de un activo como consecuencia de la materialización de una amenaza
5.12. Aceptación del riesgo
5.12.1. Decisión informada a favor de tomar un riesgo
5.13. Acreditación
5.13.1. Acción de facultar a un sistema o red de información para que procese datos sensibles, determinando el grado en el que el diseño y la materialización de dicho sistema cumple los requerimientos de seguridad técnica preestablecidos
5.14. Análisis de impacto
5.14.1. Estudio de las consecuencias que tendría una parada de X tiempo sobre la Organización
5.15. Auditoría de seguridad
5.15.1. Estudio y examen independiente del historial y actividades de un sistema de información con la finalidad de comprobar la idoneidad de los controles del sistema
5.16. Autenticidad
5.16.1. Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos
5.17. Confidencialidad
5.17.1. Propiedad o característica consistente en que la información ni se pone a disposición ni se revela a individuos, entidades o procesos no autorizados
5.18. Certificación
5.18.1. Confirmación del resultado de una evaluación, y que los criterios de evaluación utilizados fueron correctamente aplicados
5.19. Disponibilidad
5.19.1. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados
5.20. Evaluación de salvaguardas
5.20.1. Informe de la eficacia de las salvaguardas existentes en relación al riesgo que afrontan
5.21. Probabilidad
5.21.1. Posibilidad de que un hecho se produzca
5.22. Trazabilidad
5.22.1. Aseguramiento de que en todo momento se podrá determinar quién hizo qué y en qué momento