Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Metodología de Gestión de Riesgo NIST 800-30

No description
by

Elizabeth Mayora

on 17 May 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Metodología de Gestión de Riesgo NIST 800-30

Metodología de Gestión de Riesgo NIST 800-30
Grupo 08

¿Qué es el NIST?
National Institute of Standards and Technology (Instituto Nacional de Standares y Tecnología) es una agencia federal fundada en 1901 para la Administración de Tecnología del Departamento de Comercio de los Estados Unidos.

Competencias básicas del NIST:
Medición de la ciencia
Trazabilidad rigurosa
Desarrollo y aplicación de normas

Objetivo de la norma NIST SP 800-30 :
 

Aseguramiento de los sistemas de Información que almacenan, procesan y transmiten información.
Gestión de Riesgos
Optimizar la administración de Riesgos a partir del resultado en el análisis de riesgos.
Proteger las habilidades de la organización para alcanzar su misión (no solamente relacionada a la IT, sino de toda la empresa)
Ser una función esencial de la administración (no solo limitada a funciones técnicas de IT)

Publicaciones especiales apoyo de la estructura de seguridad de información:

Publicación Especial 800-39 , Riesgo Gerente de Información de Seguridad : Organización, Misión y Sistemas de Información View 11
Publicación Especial 800-37 , Guía para la Aplicación del Marco de Gestión del Riesgo de los Sistemas de Información Federales: Un Enfoque de Ciclo de Vida de Seguridad.
Publicación Especial 800-53 , Controles de seguridad recomendadas para los sistemas de información federales y organizaciones
Publicación Especial 800 -53A , Guía para la evaluación de los controles de seguridad en los sistemas de información federales y organizaciones : Planes de Evaluación edificio de seguridad eficaz .

Componentes de la gestión de Riesgos

El primer componente de la gestión de riesgos direcciona crear el marco de riesgo de las organizaciones, a establecer un contexto que el riesgo que se describe el entorno en el que se toman las decisiones El propósito del componente es producir una estrategia de gestión de riesgos que aborda cómo las organizaciones tienen la intención de evaluar el riesgo, responder a los riesgos y monitorear los riesgos haciendo explicito y transparente la precepción que la organizaciones utilizan permanentemente en la toma de decisiones e inversiones operativas.

REALIZACIÓN DE EVALUACIONES DE RIESGOS RELACIONADOS CON LA SEGURIDAD DE INFORMACIÓN:

Discute el proceso de gestión de riesgos y cómo las evaluaciones de riesgos son una parte integral de ese proceso.
La publicación es una guía para las agencias, organizaciones e instituciones en la realización de evaluaciones de riesgos de los sistemas de información
Enumera una serie de «pasos» en el proceso de evaluación de riesgos:
la preparación de la evaluación.
la realización de la evaluación,.
comunicar los resultados de la evaluación, y el mantenimiento de la evaluación.

Otros temas cubiertos en la guía incluyen, cómo las evaluaciones de riesgo y otros procesos de gestión de riesgos de la organización se complementan y se apoyan mutuamente.
cómo identificar los factores de riesgo específicos que deben ser monitoreados en forma permanente.
cómo determinar si los riesgos de la organización han aumentado a niveles inaceptables y si los diferentes cursos de acción deben ser adoptadas por el organización.

NIST 800-30

Los conceptos y principios relacionados con los procesos y métodos de evaluación de riesgos contenida en esta publicación se pretende que sean similares y consistentes con los procesos y enfoques descritos en la Organización Internacional de Normalización (ISO) y la Internacional Comisión Electrotécnica Internacional (IEC) estándar

La reutilización de resultados de la evaluación del riesgo, reduce la carga sobre las organizaciones que deben cumplir con la norma ISO / IEC y Estándares NIST.

Este documento proporciona una guía para la realización de cada una de las tres etapas del proceso de evaluación de riesgos (es decir, se preparan para la evaluación, realizar la evaluación, y mantienen la evaluación) y cómo las evaluaciones de riesgos y otros procesos de gestión de riesgos de la organización complementan y se informan mutuamente.
PROCESO DE GESTIÓN DEL RIESGO

La evaluación de riesgos es un proceso holístico, de toda la organización Los procesos de gestión de riesgos incluyen:
Estructura del riesgo .
la evaluación del riesgo.
responder a los riesgos.
el seguimiento de los riesgos.

Definido en la NIST Special Publication 800-39, Gerente de Riesgo de seguridad de información.




Propósito de la norma NIST 800 - 30

Proveer una base para el desarrollo de la gestión del riesgo
Proveer información acerca de controles de seguridad en función de la rentabilidad del negocio

El segundo componente de la gestión de riesgos se ocupa de cómo las organizaciones evalúan el riesgo en el contexto del “marco de riesgo” de la organización. El objetivo del componente de la evaluación de riesgos es identificar:
las amenazas a las organizaciones (es decir, operaciones, activos o individuos) o amenazas dirigidos a través de organizaciones en contra de otras organizaciones o la Nación;
las vulnerabilidades internas y externas a las organizaciones;
El daño (es decir, el impacto adverso) que puede ocurrir dado el potencial de las amenazas explotando vulnerabilidades; y
La probabilidad de que el daño se producirá. El resultado final es una determinación del riesgo (es decir, por lo general en función del grado de daño y la probabilidad de que se produzcan daños).

Resumen de la norma NIST 800 - 30

La guía tiene distintas secciones, son un proceso iterativo que comprende varios pasos ejecutados en forma secuencial:
 
La sección 2,
proporciona una visión general sobre la gestión de riesgos, conceptualización de amenazas y riesgos, explica cómo encaja dentro del ciclo de vida de desarrollo de un proyecto o programa así como los roles de las personas que soportan y utilizan este proceso.

La sección 3, describe la metodología de evaluación del riesgo y los 9 pasos primarios para dirigir una evaluación de riesgos de un sistema de IT.

La sección 4, describe el proceso de mitigación de riesgos, incluyendo estrategias de mitigación de riesgos, enfoque a implementación y categorías de control, análisis coste-beneficios y riesgos residuales.

La sección 5, discute las buenas prácticas y la necesidad de evaluar la progresión de los riesgos, y los factores que conducirán a un programa de gestión de riesgos exitoso.
Los cuatro pasos en el proceso gestión de riesgos incluye la etapa de evaluación de riegos y el flujo de información y comunicación necesario para hacer este proceso efectivo.

El tercer componente de la gestión de riesgos se ocupa de cómo las organizaciones a responder una vez que el riesgo esta determinada, con base en los resultados de una “evaluación de riesgos identificados”, El objetivo del “componente de respuesta a los riesgos” es proporcionar una respuesta de toda la organización de conformidad con el “marco de riesgo de la organización” a través de:

el desarrollo de cursos alternativos de acción para responder a los riesgos.
la evaluación de los cursos alternativos de acción.
la determinación de las formas de actuación en consonancia con la tolerancia al riesgo de la organización.
la implementación de respuestas a los riesgos sobre la base de los cursos de acción elegidos.

El cuarto componente de la gestión de riesgos se ocupa de cómo las organizaciones monitorear el riesgo en el tiempo. El objetivo del componente de vigilancia de riesgos es:
Determinar la eficacia continua de las respuestas al riesgo (en consonancia con el marco de riesgos de la organización).
Identificar los cambios que afectan al riesgo de los sistemas de información de la organización y de los entornos en los que operan los sistemas.
Verificar que las respuestas al riesgo planificadas se implementan y los requisitos de seguridad de la información funcionen.

Evaluaciones de Riesgos

Las evaluaciones de riesgos pueden soportar una amplia variedad de decisiones y las actividades basadas en el riesgo por parte de funcionarios de la organización a través de los tres niveles de la jerarquía de gestión de riesgos, incluyendo, pero no limitado a, los siguientes:

Desarrollo de una arquitectura de seguridad de la información.
Definición de las necesidades de interconexión de sistemas de información ( incluidos los sistemas de apoyo a los procesos de misión / de negocios y servicios comunes de infraestructura / apoyo) .

• Diseño de soluciones de seguridad para los sistemas de información y ambientes de operación, incluyendo la selección de controles de seguridad , los productos de tecnología de la información , la cadena de proveedores / suministro y contratistas.

La metodología NIST SP 800 30 puede ser aplicada a la evaluación de sistemas individuales o interrelacionados. La NIST SP 800-30 está compuesta por 9 pasos básicos para la evaluación de riesgo:

Ejemplo de vulnerabilidades y amenazas que podrían ser explotadas

Matriz del nivel de riesgo
Conclusiones
La seguridad de la información es un aspecto importante en la organización.
 
Este es un tema que hay que abordar de manera responsable, procedimental y orientada al cumplimiento de los estándares mínimos requeridos para la tecnología implementada en las organizaciones.
 
La metodología NIST SP 800 30, fue creada por NIST, como un organismo que se basa en patrones de medición, con el fin de crear estándares de seguridad en las organizaciones, tomando en cuenta las diferentes áreas de la organización para la evaluación de los procesos. Distintos principios y prácticas en seguridad comunes y de aplicación tanto en agencias gubernamentales como en corporaciones privadas están recopilados en una larga lista de publicaciones identificadas bajo la Serie 800.

Estas guías y directrices son documentos muy elaborados y de reconocido prestigio, que cubren múltiples aspectos relacionados con la seguridad de la información y que pueden servir de apoyo a la hora de desarrollar políticas, procedimientos y controles.
Full transcript