Você está na página 1de 10

ANLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30

ESTE DOCUMENTO CONTIENE UNA GUA DESARROLLADA POR EL


1

ANLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30

Contenido
INTRODUCCIN .................................................................................................................... 3 ANLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30 .................................. 4 ROLES DE UN ANALISIS DE RIESGO ............................................................................ 4 SENIOR MANAGEMENT. ....................................................................................... 4 CHIEF INFORMATION OFFICER (CIO). ............................................................... 4 SYSTEM AND INFORMATION OWNERS. ............................................................ 4 BUSINESS AND FUNCTIONAL MANAGERS. ..................................................... 4 ISSO. ........................................................................................................................ 5 IT SECURITY PRACTITIONERS. ........................................................................... 5

SECURITY AWARENESS TRAINERS (SECURITY/SUBJECT MATTER PROFESSIONALS). ....................................................................................................... 6 EVALUACION DE RIESGO .............................................................................................. 7 EJEMPLO ........................................................................................................................... 8 CONCLUSION. ................................................................................................................... 9 REFERENCIAS .................................................................................................................... 10

ANLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30

INTRODUCCIN

STANDARDS AND TECHNOLOGY (NIST). GUIDE RISK FOR MANAGEMENT INFORMATION SYSTEMS OF THE OF

TECHNOLOGY

RECOMMENDATIONS NATIONAL

INSTITUTE

STANDARDS AND TECHNOLOGY. ESTE DOCUMENTO FUE CREADO EN EL AO 2002 Y OFRECE PAUTAS PARA LA GESTIN DEL RIESGO BUSCANDO SU EVALUACIN,

GESTIN, CONTROL Y MITIGACIN. A TRAVS DE ESTE DOCUMENTO, EN CONJUNTO CON ISO 27005, ES POSIBLE IDENTIFICAR Y ESTABLECER MTODOS A TRAVS DE LOS CUALES GESTIONAR LOS RIESGOS IDENTIFICADOS EN UNA ORGANIZACIN, DISEAR Y APLICAR CONTROLES PARA LA CORRECTA MITIGACIN DE ESTOS.

ANLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30

ANLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30

ROLES DE UN ANALISIS DE RIESGO

SENIOR MANAGEMENT. DEBE ASEGURARSE DE QUE LOS RECURSOS NECESARIOS SE APLIQUEN EFECTIVAMENTE PARA DESARROLLAR LAS CAPACIDADES NECESARIAS PARA LLEVAR A CABO LA MISIN. TAMBIN DEBEN EVALUAR E INCORPORAR LOS RESULTADOS DE LA ACTIVIDAD DE EVALUACIN DE RIESGOS EN EL PROCESO DE TOMA DE DECISIONES. CHIEF INFORMATION OFFICER (CIO). RESPONSABLE DE LA PLANIFICACIN

ES

DE

LA

AGENCIA

IT,

PRESUPUESTO Y RENDIMIENTO, INCLUYENDO SUS COMPONENTES DE SEGURIDAD DE LA INFORMACIN. LAS DECISIONES TOMADAS EN ESTAS REAS DEBEN ESTAR BASADAS EN UN PROGRAMA EFICAZ DE GESTIN DE RIESGOS. SYSTEM AND INFORMATION OWNERS. SON RESPONSABLES DE ASEGURAR QUE LOS CONTROLES ADECUADOS ESTN EN SU LUGAR PARA HACER FRENTE A LA INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD DE LOS SISTEMAS INFORMTICOS Y LOS DATOS QUE POSEEN. POR LO GENERAL LOS PROPIETARIOS DE LOS SISTEMAS Y DE LA INFORMACIN SON RESPONSABLES DE LOS CAMBIOS EN SUS SISTEMAS DE TI. POR LO TANTO, POR LO GENERAL TIENEN QUE APROBAR Y FIRMAR LOS CAMBIOS EN SUS SISTEMAS DE TI (POR EJEMPLO, LA MEJORA DEL SISTEMA, LOS PRINCIPALES CAMBIOS EN EL SOFTWARE Y HARDWARE). BUSINESS AND FUNCTIONAL MANAGERS. ESTOS ADMINISTRADORES SON LAS PERSONAS CON LA AUTORIDAD Y LA RESPONSABILIDAD DE TOMAR LAS DECISIONES TRADE-OFF ESENCIALES DE CUMPLIMIENTO DE LA MISIN. SU PARTICIPACIN EN EL PROCESO DE

ANLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30

GESTIN DE RIESGOS PERMITE A LA CONSECUCIN DE LA SEGURIDAD ADECUADA PARA LOS SISTEMAS DE TI, QUE, SI SE GESTIONA

ADECUADAMENTE, PROPORCIONAR EFICACIA DE LA MISIN CON UN GASTO MNIMO DE RECURSOS. ISSO. DIRECTORES DE LOS PROGRAMAS DE SEGURIDAD DE TI Y LOS OFICIALES DE SEGURIDAD INFORMTICA SON LOS RESPONSABLES DE LOS PROGRAMAS DE SEGURIDAD DE SUS ORGANIZACIONES, INCLUYENDO LA GESTIN DE RIESGOS. POR LO TANTO, JUEGAN UN PAPEL DE LIDERAZGO EN LA INTRODUCCIN DE UNA METODOLOGA ADECUADA Y

ESTRUCTURADA PARA AYUDAR A IDENTIFICAR, EVALUAR Y MINIMIZAR LOS RIESGOS DE ' LOS SISTEMAS DE TI QUE SOPORTAN ACTAN SUS

ORGANIZACIONES

MISIONES.

ISSOS

TAMBIN

COMO

CONSULTORES PRINCIPALES EN APOYO DE LA ALTA DIRECCIN PARA ASEGURAR QUE ESTA ACTIVIDAD SE LLEVA A CABO DE MANERA CONTINUA. IT SECURITY PRACTITIONERS. PROFESIONALES DE LA SEGURIDAD (POR EJEMPLO, REDES, SISTEMAS, APLICACIONES ESPECIALISTAS Y ADMINISTRADORES INFORMTICOS; DE BASES DE DE DATOS , ,

ANALISTAS

SEGURIDAD

CONSULTORES DE SEGURIDAD ) SON RESPONSABLES DE LA CORRECTA APLICACIN DE LOS REQUISITOS DE SEGURIDAD EN SUS SISTEMAS DE TI. MEDIDA QUE SE PRODUCEN CAMBIOS EN EL ENTORNO DEL SISTEMA DE TI EXISTENTE (POR EJEMPLO, LA EXPANSIN DE LA CONECTIVIDAD DE RED, CAMBIOS EN LA INFRAESTRUCTURA EXISTENTE Y LAS POLTICAS DE ORGANIZACIN, LA INTRODUCCIN DE NUEVAS TECNOLOGAS) , LOS PROFESIONALES DE SEGURIDAD DE TI DEBEN APOYAR O UTILIZAR EL PROCESO DE GESTIN DE RIESGOS PARA IDENTIFICAR Y EVALUAR NUEVAS POSIBILIDADES RIESGOS E IMPLEMENTAR NUEVOS CONTROLES

ANLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30

DE SEGURIDAD SEGN SEA NECESARIO PARA SALVAGUARDAR SUS SISTEMAS DE TI.

SECURITY AWARENESS TRAINERS (SECURITY/SUBJECT MATTER PROFESSIONALS). SON LOS USUARIOS DE LOS SISTEMAS DE TI. EL USO DE LOS SISTEMAS Y DATOS INFORMTICOS DE ACUERDO CON LAS POLTICAS DE LA ORGANIZACIN, PAUTAS Y NORMAS DE COMPORTAMIENTO ES

FUNDAMENTAL PARA LA MITIGACIN DE RIESGOS Y LA PROTECCIN DE LOS RECURSOS DE TI DE LA

ORGANIZACIN. PARA MINIMIZAR EL RIESGO DE LOS SISTEMAS DE TI, ES ESENCIAL QUE LOS USUARIOS DEL SISTEMA IMPARTA Y LA APLICACIN SE EN LA LA

FORMACIN SOBRE LO TANTO,

CONCIENCIACIN SEGURIDAD. POR

SEGURIDAD DE LOS FORMADORES O DE SEGURIDAD IT / PROFESIONALES EN LA MATERIA DEBEN ENTENDER EL PROCESO DE GESTIN DE RIESGOS PARA QUE PUEDAN DESARROLLAR MATERIALES DE

FORMACIN ADECUADOS E INCORPORAR LA EVALUACIN DE RIESGOS EN LOS PROGRAMAS DE FORMACIN PARA EDUCAR A LOS USUARIOS FINALES.

ANLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30

EVALUACION DE RIESGO

EL PROCESO DE ANLISIS DE RIESGOS DEFINIDO EN LA METODOLOGA NIST SP 800-30 PUEDE RESUMIRSE EN EL SIGUIENTE GRFICO [NIST80030.02]:

ANLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30

EJEMPLO ANLISIS DE RIESGOS Y GESTIN DE RIESGOS SON PROCESOS CONTINUOS. AGENCIAS DEL GOBIERNO FEDERAL ESTN OBLIGADOS POR LEY A EVALUAR EL RIESGO DE LOS SISTEMAS DE INFORMACIN CADA TRES AOS. ESTA NUEVA EVALUACIN ES UN BUEN PUNTO DE REFERENCIA DESDE EL QUE DETERMINAR UN MARCO DE TIEMPO APROPIADO. NIST SP 800-37, "GUA PARA LA APLICACIN DEL MARCO DE GESTIN DEL RIESGO DE LOS SISTEMAS DE INFORMACIN FEDERALES: UN ENFOQUE DE CICLO DE VIDA DE SEGURIDAD", TIENE UN DIAGRAMA QUE ILUSTRA ESTE PROCESO DE GESTIN DE RIESGOS EN CURSO, COMO SE ILUSTRA EN LA FIGURA 1.

ANLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30

CONCLUSION.

ES IMPORTANTE QUE LAS EMPRESAS TOMEN EN CUENTA NORMAS COMO NIST SP 800-37 PARA SALVAGUARDAR SU INFORMACIN, YA QUE HOY EN DA ES PRECISAMENTE ESTA LA QUE MAS IMPORTANCIA TIENE, INCLUSO PODEMOS MENCIONAR QUE LA EMPRESA NO SOLO DEBE CUIDAR SUS FINANZAS, SU INFORMACION DEBE SER INTEGRA, CON DISPONIBILIDAD PARA LAS PERSONAS ADECUADAS Y LO MAS IMPORTANTE

CONFIDENCIAL. EL SEGUIMIENTO DE NIST SP 800-37 PERMITE UNA CREACIN DE POLTICAS Y PROCEDIMIENTOS QUE ESTABLECEN CONTROLES DE SEGURIDAD PARA LA INFORMACIN Y LOS ACTIVOS ASOCIADOS, BRINDANDO PROTECCIN DESDE LO PROCEDIMENTAL HASTA LO TCNICO DENTRO DE LA ORGANIZACIN, OFRECINDOLE CONFIANZA A NIVEL INTERNO Y EXTERNO GRACIAS AL NIVEL DE SEGURIDAD PROVISTO.

ANLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30

REFERENCIAS

COMPUTER SYSTEMS LABORATORY BULLETIN. THREATS TO COMPUTER SYSTEMS: AN OVERVIEW. MARCH 1994. NIST INTERAGENCY REPORTS 4749. SAMPLE STATEMENTS OF WORK FOR FEDERAL COMPUTER SECURITY SERVICES: FOR USE IN-HOUSE OR CONTRACTING OUT. DECEMBER 1991. NIST SPECIAL PUBLICATION 800-12. AN INTRODUCTION TO COMPUTER SECURITY: THE NIST HANDBOOK. OCTOBER 1995. NIST SPECIAL PUBLICATION 800-14. GENERALLY ACCEPTED PRINCIPLES AND PRACTICES FOR SECURING INFORMATION TECHNOLOGY SYSTEMS. SEPTEMBER 1996. CO-AUTHORED WITH BARBARA GUTTMAN. NIST SPECIAL PUBLICATION 800-18. GUIDE FOR DEVELOPING SECURITY PLANS FOR INFORMATION TECHNOLOGY SYSTEMS. DECEMBER 1998. COAUTHORED WITH FEDERAL COMPUTER SECURITY MANAGERS' FORUM WORKING GROUP. NIST SPECIAL PUBLICATION 800-26, SECURITY SELF-ASSESSMENT GUIDE FOR INFORMATION TECHNOLOGY SYSTEMS. AUGUST 2001. NIST SPECIAL PUBLICATION 800-27. ENGINEERING PRINCIPLES FOR IT SECURITY. JUNE 2001. OMB CIRCULAR A-130. MANAGEMENT OF FEDERAL INFORMATION RESOURCES. APPENDIX III. NOVEMBER 2000.

10