jueves, 25 de junio de 2015

comparacion que hay entre la iso1799 vs analisis de riesgos



comparacion que hay entre la iso1799 vs analisis de riesgos






ANÁLISIS DE RIESGO
          ISO 17799


          En el caso del análisis de riesgo es un proceso realizado para implementar la seguridad de la información. Como su nombre lo indica, es un proceso realizado para detectar los riesgos a los cuales están sometidos los activos de una organización

           EL OBJETIVO
En el caso del análisis de riesgo es la Estimación del grado de exposición de una amenaza sobre uno o más activos causando daños o perjuicios a la Organización.
El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente.

           En el caso del análisis de riesgo, este            comprende los siguientes procesos:

·         Planificación  
·         Identificación de Activos
·         Identificación de las amenazas
·         Análisis de riesgo
·         Determinación de las Políticas 

Ventajas

De fácil y rápida implementación. No requiere de especialistas en diferentes áreas.
Requiere gran cantidad de recursos especializados y tiempo.

Desventajas

Los resultados no están basados en Evidencias.
Es una foto de un instante. No provee información de gestión

      En el caso de ISO 17799 es una norma internacional que ofrece recomendaciones  para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización.

           El  objetivo  de la norma ISO 17799 es proporcionar una base
Común para desarrollar normas de seguridad dentro de las
Organizaciones, un método de  gestión eficaz de la seguridad y
Para establecer transacciones y  relaciones de confianza entre
Las empresas.

      Utilizar  la Norma  NTP ISO 17799                      permite:

·         Aumento de la seguridad efectiva de los sistemas de información.
·         Correcta  planificación  y gestión de la  seguridad.
·         Garantías de continuidad del negocio.
·         Mejora continua a través del proceso de          auditoría interna.
·         Incremento de los niveles de  confianza de los clientes y socios de negocios.

Publicado por en 2 comentarios:
GESTIÓN DE INCIDENTES DE LA SEGURIDAD DE INFORMACIÓN

¿QUÉ ES UN INCIDENTE DE SEGURIDAD?

Es un hecho o amenaza que atenta contra la Confidencialidad , Integridad y Disponibilidad de un sistema informático. 







¿QUÉ MEDIDAS TOMAR?

Medidas Preventivas
 Son aquellas que se implementan el uso de contraseñas, Firewall, Procedimientos de Backup, Planes de continuidad, cifrado, etc.
Con esto nos referimos a toda acción que tenga como principal medida salvaguardar nuestros activos.

¿QUÉ MEDIDAS TOMAR?

Medidas de Detección

Son las que tienen a controlar es decir, Registros de Auditoria, Revisiones de Seguridad, etc.-
 

¿QUÉ MEDIDAS TOMAR?

Medidas Correctivas

Consiste en tener a mano  el uso de esquemas de tolerancia a fallos, procedimientos de Restauración, etc.

La Gestión de Incidentes persigue como objetivo el uso de recursos necesarios y su uso adecuado, con el afán de Realizar prevención, detección y corrección de ser necesarios al momento de atender un incidente de seguridad de la información.

Para este fin se utilizan las siguientes pautas:

a. Prevención de incidentes
b. Detección y el reporte del incidente
c. Clasificación del incidente
d. Análisis del incidente
e. Respuesta al incidente
f. Registro de incidentes
g. Aprendizaje

Beneficios:

Responder a los incidentes de manera sistemática,    eficiente y rápida.
• Facilitar una recuperación en poco tiempo,    perdiendo muy poca información.
• Realizar continuamente mejoras en la gestión y      tratamiento de incidentes.
• Generar un Base de conocimientos sobre Incidentes.
• Evitar incidentes repetitivos.
• La posibilidad de apegar los incidentes acorde a legislación vigente.
 
Publicado por en No hay comentarios:

lunes, 22 de junio de 2015

ANÁLISIS DE RIESGO 

¿QUE ES UN ANÁLISIS DE RIESGO?
El análisis de riesgo (también conocido como evaluación de riesgo o PHA por sus siglas en ingles Process Hazards Analysis) es el estudio de las causas de las posibles amenazas, y los daños y consecuencias que éstas puedan producir.
Este tipo de análisis es amplia mente utilizado como herramienta de gestión  en estudios financieros y de seguridad para identificar riesgos métodos cualitativos  y otras para evaluar riesgos (generalmente de la naturaleza  cuantitativa).
El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente.
La función  de la evaluación consiste en ayudar a alcanzar un nivel razonable de consenso en torno a los objetivos en cuestión, y asegurar un nivel mínimo que permita desarrollar indicadores operacionales a partir de los cuales medir y evaluar.

 
¿ OBJETIVOS DE UN ANÁLISIS DE RIESGO?
objetivos:
objetivo general:





realizar un análisis de riesgo a dos subestaciones eléctricas de la comisión federal de electricidad  utilizando la metodología HAZOP y utilizando un programa de patente  de esta  metodología (scri hazop).



objetivos particulares:




realizar una revisión bibliográfica sobre el análisis de riesgo  mas usados, así como la metodología hazop. evaluar con metodología hazop dos subestaciones eléctricas
de la comisión federal de electricidad comparar los resultados con los obtenidos en el análisis anterior en que se utilizo el indice de mond.



 ¿Cuál es el procedimiento para elaborar un análisis de riesgo?

 . PROGRAMACIÓN  

. ENTREVISTA AL PERSONAL DE SEGURIDAD

.  ENTREVISTA AL PERSONAJE

. ANÁLISIS DE EVALUACIÓN DEL NIVEL DE                    RIESGO

 . DOCUMENTO FINAL 




Publicado por en 1 comentario:
Suscribirse a: Entradas (Atom)