METODOLOGÍA O HERRAMIENTAS PARA EL ANÁLISIS Y GESTIÓN DE RIESGOS

Slides:

Advertisements

Presentaciones similares

SEMINARIO DE AUDITORÍA INTEGRAL

Advertisements

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

COSO I y COSO II.

UNIVERSIDAD "ALONSO DE OJEDA"

IV Jornada Anual de Riesgos

Gestión de proyectos Es la primera etapa de Ingeniería del Software.

Mantenimiento basado en el Riesgo (Inspección basada en el Riesgo)

Equipo 11 -Enríquez Chávez Jocelyn -Martínez Arvallo Diana Berenice

Análisis y gestión de riesgos en un Sistema Informático

ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS

MARCO METODOLOGICO.

UPC – SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.

. Cap.9 GESTION DE LA CONFIGURACION DEL SOFTWARE ( GCS/SCM.

Metodologías de Auditoría Informática y Control Interno

Metodologías de control interno, seguridad y auditoría informática

Análisis y Gestión de riesgos en un sistema informático

Introducción a la Seguridad de la información

SOFTWARE MEASEGURA. METODOLOGIA PARA SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION ISO

Bioseguridad y Gestión Ambiental

AUDITORIA DE SISTEMAS DE INFORMACIÓN

PMG/MEI – Sistema de Seguridad de la Información Resumen de Requisitos Técnicos Gobierno de Chile | Red de Expertos.

Técnicas y Prácticas. TÉCNICAS DE DESARROLLO Las técnicas de desarrollo son un conjunto de procedimientos que se basan en reglas y notaciones específicas.

Dirección de Calidad y Medio Ambiente Responsabilidad ambiental Una visión positiva y proactiva desde la empresa FORO ANAVAM Octubre de 2008 Valentín.

Manual de Funciones.

Fundamentos de la Gerencia de Proyectos

Santiago de Chile, 07/09/2009 El PMG en su tercera etapa Algunos comentarios Juan Carlos Cortázar Velarde Especialista en Modernización del Estado Banco.

PLANEACION DEL SISTEMA

Metodología de Control Interno, Seguridad y Auditoría Informática

PRÁCTICAS INDUSTRIALES

Técnicas para la obtención de requerimientos

Ailyn Lopez pitty Leda Sequeira picado Kevin barquero irola

5.3 APROXIMACIONES AL DISEÑO

Análisis y Gestión de Riesgos

GRAFICOS DE CONTROL POR ATRIBUTOS

DIRECTRICES PARA LA MEJORA DEL DESEMPEÑO

Resumen análisis y gestión de riesgos Marcos Castro Franco.

4/27/2015Gestión de Proyectos de Software1 PLANEACIÓN ESTRATÉGICA – PRIMERA PARTE Carlos Mario Zapata J.

Ailyn Lopez pitty Leda Sequeira picado Kevin barquero irola

Ingeniería de Software

Plan de Sistemas de Información (PSI)

Ing. Sergio León Maldonado

(GESTIÓN DE PROCESOS DE NEGOCIO)

©Copyright 2013 ISACA. Todos los derechos reservados El estado deseado ISO/IEC 27002/ISO/IEC 27001— Las 11 Divisiones Principales: —Política de.

Estudio de Viabilidad del Sistema (EVS)

PLAN DEL AUDITOR INFORMÁTICO INTEGRANTES: Fabio Guevara Kenneth Ramírez Charlie Mesén.

PLANEACION DEL SISTEMA

GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION

SGSI: Sistemas de Gestión de la Seguridad de la Información

©Copyright 2013 ISACA. Todos los derechos reservados. Confianza y valor de los sistemas de información ISACA ®

EBIOS Expresión de las necesidades e identificación de los objetivos de seguridad.

Análisis y Gestión de Riesgos en un Sistema Informático

DELITOS EMERGENTES EN INTERNET Y EL DESAFIO DE CARABINEROS DE CHILE EN LA PREVENCIÓN Y CONTROL EN LA ERA INFORMÁTICA Para el desarrollo de este trabajo.

Elaborado por: Mayoral Cruz Matilde Morales Espinoza Anllhins

AUDITORIA Seguridad y Auditoria de Sistemas Ciclo Ing. Yolfer Hernández, CIA.

Riesgos – Control Interno

Proyecto Master - Alberto Salgado - (C) Creative Commons V3.0 Master en Dirección y Gestión de las TIC Proyecto DETI Marco de trabajo para la evaluación.

las clases de auditorias existentes

Estructurar tus ideas para hacerlas realidad

Integración de proyectos de mejora

ROL DE FORTALECIMIENTO DE LA CULTURA DEL CONTROL.

Auditoría de Sistemas.

Asesoría Relacionada a la Seguridad. Balance de Seguridad.

Angel Rodriguez Carlos Enrique Calderón García Carlos Felipe

ESTÁNDAR ISO/IEC INTERNACIONAL 27001

EI, Profesor Ramón Castro Liceaga III. METODOLOGIAS PARA LA AUDITORIA EN INFORMATICA UNIVERSIDAD LATINA (UNILA)

VI. EVALUACIÓN DE LOS RECURSOS

SISTEMA DE GESTIÓN DE LA CALIDAD ISO 9001: AUDITORÍA INTERNA

Marco Integrado de Control Interno, con enfoque COSO III, 2013

Auditoría y Seguridad de Sistemas de Información Auditoria de Sistemas un Desafío Principales Actividades de la Auditoría de Sistemas Cr. Luis Elissondo.

Transcripción de la presentación:

METODOLOGÍA O HERRAMIENTAS PARA EL ANÁLISIS Y GESTIÓN DE RIESGOS CRAMM

CRAMM Desarrollada por el Reino Unido y es utilizada comúnmente por los países que conforman la Organización del Tratado del Atlántico Norte (OTAN), siendo de uso común en Europa. El acrónimo proviene de CCTA Risk Analysis and Management Method. Su versión inicial data de 1987 y la versión vigente es la 5.2.

CRAMM Puede definirse como una Metodología: Para el análisis y gestión de riesgos. Que aplica sus conceptos de una manera formal, disciplinada y estructurada. Orientada a proteger la confidencialidad, integridad y disponibilidad de un sistema y de sus activos. Que, aunque es considerada cuantitativa, utiliza evaluaciones cuantitativas y cualitativas, y por esto se considera mixta.

CRAMM Incluye una amplia gama de herramientas de evaluación de riesgo que son totalmente compatibles con 27001 y ISO que se ocupan de tareas como: Activos de modelado de dependencia Evaluación de impacto empresarial Identificación y evaluación de amenazas y vulnerabilidades Evaluar los niveles de riesgo La identificación de los controles necesarios y justificados sobre la base de la evaluación del riesgo. Un enfoque flexible para la evaluación de riesgos.

CRAMM Es un software que realiza un análisis de riesgos cualitativos asociados con una herramienta de gestión. Proporciona un enfoque disciplinado y organizado que abarca tanto técnicas (por ejemplo, el hardware y software) y no técnicas (por ejemplo, físicos y humanos) los aspectos de seguridad.

CRAMM Con el fin de evaluar estos componentes, CRAMM se divide en tres etapas: Identificación y valoración de activos De amenazas y evaluación de la vulnerabilidad Contramedidas selección y recomendación

CRAMM Primera etapa: recoge la definición global de los objetivos de seguridad. Definición del alcance Identificación y evaluación de los activos físicos y software implicados Determinación del valor de los datos en cuanto a impacto en el negocio y la identificación. - Segunda etapa: el análisis de riesgos, identificando. - Amenazas que afecta al sistema - Vulnerabilidades que explotan dichas amenazas - Cálculo de los riesgos de materialización de las mismas.

CRAMM Tercera etapa se identifican y seleccionan las medidas de seguridad aplicadas en la entidad obteniendo los riesgos residuales, CRAMM proporciona una librería unas 3000 medidas de seguridad. Basándose en los resultados del análisis de riesgos, Cramm produce una serie de contramedidas aplicable al sistema o red que se consideran necesarias para gestionar los riesgos identificados. El perfil de seguridad recomendado a continuación, se compara con los existentes para Contramedidas, luego de identificar las áreas de debilidad o de mayor exposición.

CRAMM Matriz de riesgo 1 7 "1" indica una línea de base de bajo nivel de exigencia de seguridad “7 " indica un requisito de seguridad muy alto.

CRAMM Las principales actividades del proceso de análisis y gestión de riesgos de CRAMM se resume en el siguiente gráfico:

CRAMM VULNERABILIDADES ANALISYS BIENES RIESGOS AMENAZAS CONTRAMEDIDAS EJECUCION GESTIÓN AUDITORIA

CRAMM Las principales actividades del proceso de análisis y gestión de riesgos de CRAMM se resume en el siguiente gráfico:

ALFREDO SANCHEZ CONTRERAS RAUL FRANCISCO OTERO GUTIERREZ Gracias por su atención ALFREDO SANCHEZ CONTRERAS RAUL FRANCISCO OTERO GUTIERREZ alfredosanchezc@ufps.edu.co SEPTIEMBRE, 2013