Requisito previo: modelado de amenazas
Un riesgo no es más que la intersección de activos, amenazas y vulnerabilidad.
A+T+V = R
NIST SP 800-30 Guía de gestión de riesgos para profesionales de la tecnología de la información define el riesgo como una función de la probabilidad de que una fuente de amenaza dada ejerza una vulnerabilidad potencial particular y el impacto resultante de ese evento adverso en la organización.
Entonces, los componentes principales de la evaluación de riesgos son:
- amenazas
- Vulnerabilidad
- Impacto (es decir, pérdida potencial)
- Probabilidad de ocurrencia (es decir, la probabilidad de que ocurra un evento, una amenaza que aproveche con éxito una vulnerabilidad)
Las amenazas son cualquier cosa que pueda explotar una vulnerabilidad accidental o intencionalmente y destruir o dañar un activo . El activo puede ser cualquier persona, propiedad o información. El activo es lo que estamos tratando de proteger y una amenaza es contra lo que estamos tratando de protegernos. Vulnerabilidad significa brecha o debilidad en nuestros esfuerzos de protección.
Threat Source es un método para explotar una vulnerabilidad o una situación, ya sea intencionalmente o no. Por ejemplo, un software malicioso al que se adjunta un virus o un gusano para propagarse en el sistema y en otras computadoras a través de un correo electrónico que contiene un virus como archivo adjunto o como un enlace. Si el remitente comparte este correo electrónico sin conocer el propósito malicioso del archivo adjunto o enlace, entonces será una fuente de amenaza no intencional; de lo contrario, será una fuente de amenaza intencional.
El proceso completo de gestión del Riesgo se puede dividir en las siguientes etapas:
- Establecimiento del contexto
- Evaluación de riesgos
- Identificación de riesgo
- Estimación de riesgos
- Evaluación de riesgo
- Gestión/ Mitigación de Riesgos
- Asunción de riesgo
- Evitación de riesgo
- Limitación de riesgo
- Planificación de riesgos
- Investigación y reconocimiento
- Transferencia de Riesgo
- Comunicación de riesgos
- Supervisión y revisión de riesgos
- Evaluación y evaluación de TI
1. Establecimiento del contexto:
en este paso se obtiene información sobre la organización y los criterios básicos, el propósito, el alcance y los límites de las actividades de gestión de riesgos. Además de estos datos, es importante recopilar detalles sobre la organización a cargo de las actividades de gestión de riesgos.
La misión, los valores, la estructura, la estrategia, las ubicaciones y el entorno cultural de la organización se estudian para tener una comprensión profunda de su alcance y límites.
Las restricciones (presupuestarias, culturales, políticas, técnicas) de la organización deben recopilarse y documentarse como guía para los próximos pasos.
El papel principal dentro de la organización a cargo de las actividades de gestión de riesgos puede verse como:
- Gerencia senior
- Director de información (CIO)
- Propietarios de sistemas e información
- los gerentes de negocio y funcionales
- el oficial de seguridad del sistema de información (ISSO) o el director de seguridad de la información (CISO)
- Profesionales de seguridad de TI
- Entrenadores de conciencia de seguridad
Gestión de Riesgos para la Seguridad de la Información | Conjunto-2
Publicación traducida automáticamente
Artículo escrito por rashi_garg y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA