actividad norma nist sp 800-30
DESCRIPTION
Actividad Norma Nist Sp 800-30TRANSCRIPT
ANÁLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30
1
ESTE DOCUMENTO CONTIENE UNA GUÍA DESARROLLADA POR EL
ANÁLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30
2
Contenido INTRODUCCIÓN .................................................................................................................... 3
ANÁLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30 .................................. 4
ROLES DE UN ANALISIS DE RIESGO ............................................................................ 4
SENIOR MANAGEMENT. ....................................................................................... 4
CHIEF INFORMATION OFFICER (CIO). ............................................................... 4
SYSTEM AND INFORMATION OWNERS. ............................................................ 4
BUSINESS AND FUNCTIONAL MANAGERS. ..................................................... 4
ISSO. ........................................................................................................................ 5
IT SECURITY PRACTITIONERS. ........................................................................... 5
SECURITY AWARENESS TRAINERS (SECURITY/SUBJECT MATTER
PROFESSIONALS). ....................................................................................................... 6
EVALUACION DE RIESGO .............................................................................................. 7
EJEMPLO ........................................................................................................................... 8
CONCLUSION. ................................................................................................................... 9
REFERENCIAS .................................................................................................................... 10
ANÁLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30
3
INTRODUCCIÓN
STANDARDS AND TECHNOLOGY
(NIST). “RISK MANAGEMENT
GUIDE FOR INFORMATION
TECHNOLOGY SYSTEMS –
RECOMMENDATIONS OF THE
NATIONAL INSTITUTE OF
STANDARDS AND TECHNOLOGY”.
ESTE DOCUMENTO FUE CREADO
EN EL AÑO 2002 Y OFRECE PAUTAS
PARA LA GESTIÓN DEL RIESGO
BUSCANDO SU EVALUACIÓN,
GESTIÓN, CONTROL Y MITIGACIÓN.
A TRAVÉS DE ESTE DOCUMENTO, EN CONJUNTO CON ISO 27005,
ES POSIBLE IDENTIFICAR Y ESTABLECER MÉTODOS A TRAVÉS DE
LOS CUALES GESTIONAR LOS RIESGOS IDENTIFICADOS EN UNA
ORGANIZACIÓN, DISEÑAR Y APLICAR CONTROLES PARA LA
CORRECTA MITIGACIÓN DE ESTOS.
ANÁLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30
4
ANÁLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30
ROLES DE UN ANALISIS DE RIESGO
SENIOR MANAGEMENT.
DEBE ASEGURARSE DE QUE LOS RECURSOS NECESARIOS SE APLIQUEN
EFECTIVAMENTE PARA DESARROLLAR LAS CAPACIDADES NECESARIAS
PARA LLEVAR A CABO LA MISIÓN. TAMBIÉN DEBEN EVALUAR E
INCORPORAR LOS RESULTADOS DE LA ACTIVIDAD DE EVALUACIÓN DE
RIESGOS EN EL PROCESO DE TOMA DE DECISIONES.
CHIEF INFORMATION OFFICER (CIO).
ES RESPONSABLE DE LA PLANIFICACIÓN DE LA AGENCIA IT,
PRESUPUESTO Y RENDIMIENTO, INCLUYENDO SUS COMPONENTES DE
SEGURIDAD DE LA INFORMACIÓN. LAS DECISIONES TOMADAS EN ESTAS
ÁREAS DEBEN ESTAR BASADAS EN UN PROGRAMA EFICAZ DE GESTIÓN
DE RIESGOS.
SYSTEM AND INFORMATION OWNERS.
SON RESPONSABLES DE ASEGURAR QUE LOS CONTROLES ADECUADOS
ESTÁN EN SU LUGAR PARA HACER FRENTE A LA INTEGRIDAD,
CONFIDENCIALIDAD Y DISPONIBILIDAD DE LOS SISTEMAS INFORMÁTICOS
Y LOS DATOS QUE POSEEN. POR LO GENERAL LOS PROPIETARIOS DE
LOS SISTEMAS Y DE LA INFORMACIÓN SON RESPONSABLES DE LOS
CAMBIOS EN SUS SISTEMAS DE TI. POR LO TANTO, POR LO GENERAL
TIENEN QUE APROBAR Y FIRMAR LOS CAMBIOS EN SUS SISTEMAS DE TI
(POR EJEMPLO, LA MEJORA DEL SISTEMA, LOS PRINCIPALES CAMBIOS EN
EL SOFTWARE Y HARDWARE).
BUSINESS AND FUNCTIONAL MANAGERS.
ESTOS ADMINISTRADORES SON LAS PERSONAS CON LA AUTORIDAD Y LA
RESPONSABILIDAD DE TOMAR LAS DECISIONES TRADE-OFF ESENCIALES
DE CUMPLIMIENTO DE LA MISIÓN. SU PARTICIPACIÓN EN EL PROCESO DE
ANÁLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30
5
GESTIÓN DE RIESGOS PERMITE A LA CONSECUCIÓN DE LA SEGURIDAD
ADECUADA PARA LOS SISTEMAS DE TI, QUE, SI SE GESTIONA
ADECUADAMENTE, PROPORCIONARÁ EFICACIA DE LA MISIÓN CON UN
GASTO MÍNIMO DE RECURSOS.
ISSO.
DIRECTORES DE LOS PROGRAMAS DE SEGURIDAD DE TI Y LOS OFICIALES
DE SEGURIDAD INFORMÁTICA SON LOS RESPONSABLES DE LOS
PROGRAMAS DE SEGURIDAD DE SUS ORGANIZACIONES, INCLUYENDO LA
GESTIÓN DE RIESGOS. POR LO TANTO, JUEGAN UN PAPEL DE LIDERAZGO
EN LA INTRODUCCIÓN DE UNA METODOLOGÍA ADECUADA Y
ESTRUCTURADA PARA AYUDAR A IDENTIFICAR, EVALUAR Y MINIMIZAR
LOS RIESGOS DE LOS SISTEMAS DE TI QUE SOPORTAN SUS
ORGANIZACIONES ' MISIONES. ISSOS TAMBIÉN ACTÚAN COMO
CONSULTORES PRINCIPALES EN APOYO DE LA ALTA DIRECCIÓN PARA
ASEGURAR QUE ESTA ACTIVIDAD SE LLEVA A CABO DE MANERA
CONTINUA.
IT SECURITY PRACTITIONERS.
PROFESIONALES DE LA SEGURIDAD (POR EJEMPLO, REDES, SISTEMAS,
APLICACIONES Y ADMINISTRADORES DE BASES DE DATOS ,
ESPECIALISTAS INFORMÁTICOS; ANALISTAS DE SEGURIDAD ,
CONSULTORES DE SEGURIDAD ) SON RESPONSABLES DE LA CORRECTA
APLICACIÓN DE LOS REQUISITOS DE SEGURIDAD EN SUS SISTEMAS DE TI.
MEDIDA QUE SE PRODUCEN CAMBIOS EN EL ENTORNO DEL SISTEMA DE
TI EXISTENTE (POR EJEMPLO, LA EXPANSIÓN DE LA CONECTIVIDAD DE
RED, CAMBIOS EN LA INFRAESTRUCTURA EXISTENTE Y LAS POLÍTICAS DE
ORGANIZACIÓN, LA INTRODUCCIÓN DE NUEVAS TECNOLOGÍAS) , LOS
PROFESIONALES DE SEGURIDAD DE TI DEBEN APOYAR O UTILIZAR EL
PROCESO DE GESTIÓN DE RIESGOS PARA IDENTIFICAR Y EVALUAR
NUEVAS POSIBILIDADES RIESGOS E IMPLEMENTAR NUEVOS CONTROLES
ANÁLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30
6
DE SEGURIDAD SEGÚN SEA NECESARIO PARA SALVAGUARDAR SUS
SISTEMAS DE TI.
SECURITY AWARENESS TRAINERS (SECURITY/SUBJECT MATTER
PROFESSIONALS).
SON LOS USUARIOS DE LOS SISTEMAS DE TI. EL USO DE LOS SISTEMAS Y
DATOS INFORMÁTICOS DE ACUERDO CON LAS POLÍTICAS DE LA
ORGANIZACIÓN, PAUTAS Y NORMAS
DE COMPORTAMIENTO ES
FUNDAMENTAL PARA LA MITIGACIÓN
DE RIESGOS Y LA PROTECCIÓN DE
LOS RECURSOS DE TI DE LA
ORGANIZACIÓN. PARA MINIMIZAR EL
RIESGO DE LOS SISTEMAS DE TI, ES
ESENCIAL QUE LOS USUARIOS DEL
SISTEMA Y LA APLICACIÓN SE
IMPARTA FORMACIÓN EN
CONCIENCIACIÓN SOBRE LA
SEGURIDAD. POR LO TANTO, LA
SEGURIDAD DE LOS FORMADORES O
DE SEGURIDAD IT / PROFESIONALES
EN LA MATERIA DEBEN ENTENDER EL PROCESO DE GESTIÓN DE
RIESGOS PARA QUE PUEDAN DESARROLLAR MATERIALES DE
FORMACIÓN ADECUADOS E INCORPORAR LA EVALUACIÓN DE RIESGOS
EN LOS PROGRAMAS DE FORMACIÓN PARA EDUCAR A LOS USUARIOS
FINALES.
ANÁLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30
7
EVALUACION DE RIESGO
EL PROCESO DE ANÁLISIS DE RIESGOS DEFINIDO EN LA METODOLOGÍA
NIST SP 800-30 PUEDE RESUMIRSE EN EL SIGUIENTE GRÁFICO [NIST800-
30.02]:
ANÁLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30
8
EJEMPLO
ANÁLISIS DE RIESGOS Y GESTIÓN DE RIESGOS SON PROCESOS
CONTINUOS. AGENCIAS DEL GOBIERNO FEDERAL ESTÁN OBLIGADOS POR
LEY A EVALUAR EL RIESGO DE LOS SISTEMAS DE INFORMACIÓN CADA
TRES AÑOS. ESTA NUEVA EVALUACIÓN ES UN BUEN PUNTO DE
REFERENCIA DESDE EL QUE DETERMINAR UN MARCO DE TIEMPO
APROPIADO. NIST SP 800-37, "GUÍA PARA LA APLICACIÓN DEL MARCO DE
GESTIÓN DEL RIESGO DE LOS SISTEMAS DE INFORMACIÓN FEDERALES:
UN ENFOQUE DE CICLO DE VIDA DE SEGURIDAD", TIENE UN DIAGRAMA
QUE ILUSTRA ESTE PROCESO DE GESTIÓN DE RIESGOS EN CURSO,
COMO SE ILUSTRA EN LA FIGURA 1.
ANÁLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30
9
CONCLUSION.
ES IMPORTANTE QUE LAS EMPRESAS TOMEN EN CUENTA NORMAS COMO
NIST SP 800-37 PARA SALVAGUARDAR SU INFORMACIÓN, YA QUE HOY EN
DÍA ES PRECISAMENTE ESTA LA QUE MAS IMPORTANCIA TIENE, INCLUSO
PODEMOS MENCIONAR QUE LA EMPRESA NO SOLO DEBE CUIDAR SUS
FINANZAS, SU INFORMACION DEBE SER INTEGRA, CON DISPONIBILIDAD
PARA LAS PERSONAS ADECUADAS Y LO MAS IMPORTANTE
CONFIDENCIAL.
EL SEGUIMIENTO DE NIST SP 800-37 PERMITE UNA CREACIÓN DE
POLÍTICAS Y PROCEDIMIENTOS QUE ESTABLECEN CONTROLES DE
SEGURIDAD PARA LA INFORMACIÓN Y LOS ACTIVOS ASOCIADOS,
BRINDANDO PROTECCIÓN DESDE LO PROCEDIMENTAL HASTA LO
TÉCNICO DENTRO DE LA ORGANIZACIÓN, OFRECIÉNDOLE CONFIANZA A
NIVEL INTERNO Y EXTERNO GRACIAS AL NIVEL DE SEGURIDAD PROVISTO.
ANÁLISIS DE RIESGO EN BASE A LA NORMA NIST SP 800-30
10
REFERENCIAS
COMPUTER SYSTEMS LABORATORY BULLETIN. THREATS TO COMPUTER
SYSTEMS: AN OVERVIEW. MARCH 1994.
NIST INTERAGENCY REPORTS 4749. SAMPLE STATEMENTS OF WORK FOR
FEDERAL COMPUTER SECURITY SERVICES: FOR USE IN-HOUSE OR
CONTRACTING OUT. DECEMBER 1991.
NIST SPECIAL PUBLICATION 800-12. AN INTRODUCTION TO COMPUTER
SECURITY: THE NIST HANDBOOK. OCTOBER 1995.
NIST SPECIAL PUBLICATION 800-14. GENERALLY ACCEPTED PRINCIPLES
AND PRACTICES FOR SECURING INFORMATION TECHNOLOGY SYSTEMS.
SEPTEMBER 1996. CO-AUTHORED WITH BARBARA GUTTMAN.
NIST SPECIAL PUBLICATION 800-18. GUIDE FOR DEVELOPING SECURITY
PLANS FOR INFORMATION TECHNOLOGY SYSTEMS. DECEMBER 1998. CO-
AUTHORED WITH FEDERAL COMPUTER SECURITY MANAGERS' FORUM
WORKING GROUP.
NIST SPECIAL PUBLICATION 800-26, SECURITY SELF-ASSESSMENT GUIDE
FOR INFORMATION TECHNOLOGY SYSTEMS. AUGUST 2001.
NIST SPECIAL PUBLICATION 800-27. ENGINEERING PRINCIPLES FOR IT
SECURITY. JUNE 2001.
OMB CIRCULAR A-130. MANAGEMENT OF FEDERAL INFORMATION
RESOURCES. APPENDIX III. NOVEMBER 2000.