2.7.1 OS/Gestión de riesgos
La gestión de riesgos consiste en encontrar y controlar los riesgos para los activos de información de la organización.
Temas:
Core Tier1
- Identificación de riesgos
- La identificación de activos es la catalogación de activos de información en una organización, como bases de datos o hardware, para ayudar en la determinación del riesgo en caso de que los activos se vean comprometidos o se pierdan. Las amenazas incluyen cualquier evento que aproveche una vulnerabilidad que tenga el potencial de causar pérdidas o daños a la organización. Las organizaciones utilizan cada vez más la inteligencia de amenazas (modelado de amenazas) para mantener la conciencia y la capacidad reactiva ante amenazas existentes y emergentes.
- Evaluación y análisis de riesgos.
- El análisis de riesgos es el proceso organizacional para determinar y abordar posibles pérdidas accidentales o intencionales.
- Diseñar e implementar procedimientos para minimizar el impacto de estas pérdidas.
- También puede abarcar análisis de amenazas e inteligencia de amenazas.
- Amenazas internas
- Una persona privilegiada se define como cualquier persona con acceso autorizado a los recursos de una organización, incluido el personal, las instalaciones, la información, los equipos, las redes y los sistemas.
- Una amenaza interna se define como el riesgo de que una persona interna utilice su acceso autorizado, consciente o inconscientemente, para dañar su organización.
- Robo de información y tecnología patentadas; daños a las instalaciones, sistemas o equipos de la empresa; daño real o amenaza de daño a los empleados; u otras acciones que impidan a la empresa llevar a cabo sus prácticas comerciales normales.
- Comportamientos motivo-medio-oportunidad: factores de motivación y disciplina, responsabilidad, conciencia y control de calidad.
- El FBI ha desarrollado materiales que incluyen indicadores útiles para identificar posibles riesgos de amenazas internas.
- Modelos y metodologías de medición y evaluación de riesgos
- Enfoques tanto cuantitativos como cualitativos para la evaluación de riesgos, aplicación de modelos y métodos para diversos contextos comerciales (por ejemplo, HIPAA para instalaciones de atención médica).
- Las herramientas de interés podrían incluir la autoevaluación Cyber Resilience Review
- Herramienta de evaluación de ciberseguridad (CSET), así como herramienta de evaluación de riesgos de seguridad de HSS.
- control de riesgos
- Evaluación y ranking de riesgos y las categorías Evitar, Reducir, Transferir, Aceptar.
- Metodologías de control de riesgos ampliamente utilizadas y disponibles para la exposición y la práctica.
Objetivos de Aprendizaje:
Core-Tier1:
- Describir la gestión de riesgos y su papel en la organización [Usar]
- Describir técnicas de gestión de riesgos para identificar y priorizar factores de riesgo para activos de información y cómo se evalúa el riesgo [Usar]
- Analice las opciones de estrategia utilizadas para tratar el riesgo y esté preparado para seleccionar entre ellas cuando se le proporcione información general [Usar]
- Describir metodologías populares utilizadas en la industria para gestionar el riesgo [Usar]
Generado por Ernesto Cuadros-Vargas , Sociedad Peruana de Computación-Peru, basado en el modelo de la Computing Curricula de IEEE-CS/ACM