Metodología de Análisis y Gestión de Riesgo

...

- Se seleccionará una parte representativa del personal y se definirán cuales bienes son más importantes para ellos y la organización qué bienes son importantes para ellos y la organización. Y se enlistarán los que a su percepción son los cinco más importantes. El personal de sistemas se deberá centrar en los activos que requieren para realizar sus funciones.

- Para estos Cinco activos más importantes se tendrá que definir en qué situaciones donde se puedan ver amenazados. Y Tendrán que definir los requisitos de seguridad para estos activos

- Para los cinco activos más importantes, los gerentes de operaciones de la zona describen situaciones en las que tales activos se ven amenazados.

- El personal que se definió para este punto tendrán una sesión donde contestarán las encuestas del catálogo de prácticas y se discutirán los resultados con la finalidad de que se está haciendo bien y que no en materia de seguridad.

Proceso 4: Perfil de Amenaza

En este proceso integrará toda la información recabada en los tres primeros procesos a partir de esto que crearan perfiles de amenaza para un conjunto de activos críticos este proceso se llevara a cabo por parte del equipo de análisis.

Se compone de las siguientes actividades:

- El equipo de análisis recaba todas las listas donde se enlistaron los activos y en general toda la información de los primeros 3 procesos.

- Después de analizar las listas de los activos mencionados en los tres procesos primarios los mas críticos serán elegidos por el equipo de análisis.

Etapa 2: IDENTIFICAR LAS VULNERABILIDADES

Los procesos de la Fase 2 son:

Proceso 5: Identificar los principales componentes.

En este proceso se deberá de identificar los componentes principales de la infraestructura que se deben revisar en busca de vulnerabilidades para cada uno de los activos críticos.

Se identifican los componentes principales que estén directamente relacionados con cada activo critico como servidores, Ups, Firewalls, NAS, SAN con la finalidad de revisar las vulnerabilidades y así evitar o dificultar los accesos no autorizados.

Proceso 6: Evaluar dichos componentes.

En este proceso cada componente será evaluado mediante técnicas de intrusión o pruebas de penetración y herramientas para detectar vulnerabilidades. Este tipo de actividades en caso de que el personal desconozca y no este capacitada para realizar dichas actividades se podrán subcontratar.

Etapa 3. Estrategia y desarrollo del plan

En esta etapa el equipo de análisis identificará todos los riesgos sobre los activos más críticos, este equipo será en encargado de diseñar una estrategia de protección, así como los planes de mitigación.

Los procesos de la Fase 3 son:

Proceso 7: Análisis de Comportamiento de riesgo

Para este Proceso, el equipo de análisis identificará el daño de las amenazas a los activos más críticos en base a esto tendrán que crear criterios para la evaluación de estos riesgos esto generará perfiles de riesgo para cada uno de los activos críticos.

Proceso 8: Desarrollo de estrategia de protección

el equipo de análisis creará una estrategia de protección para los planes de mitigación de los activos críticos, La Dirección deberán revisar y aprobar o en su caso depurar y modificar la estrategia y los planes.

Consta de las siguientes actividades:

- Recabar toda la información obtenida de las encuestas realizadas en los talleres

- Se tendrán que revisar los procesos anteriores es decir cómo se hacían las cosas tomando en cuenta todo tanto las vulnerabilidades como prácticas, información de riesgos.

- La estrategia para la protección se elabora en torno al o los catálogos de prácticas.

- Elaborar los planes de mitigación

- Elaboración de acciones inmediatas.