Análisis de Riesgos

Basado en los principales estándares de Análisis de Riesgos (BS 31100 / ISO 27005), de TI y SI (CobIT, ISO 27002, ITIL), proponemos un esquema modular que complemente tanto el enfoque de procesos como el enfoque técnico, dando así una visión más completa y certera del estado de arte de la Seguridad y TI.

Se trata de identificar aquellos eventos que están ocurriendo o tienen probabilidad que sucedan, y determinar su impacto en la Organización.

Por lo tanto, el Riesgo consta de tres elementos:

  • Evento (¿Qué puede suceder?)
  • Probabilidad (¿Qué tan factible es que suceda?)
  • Impacto (Si sucede, ¿Qué tan mal nos va a ir?)

Si bien existen diversas clasificaciones de Riesgo, estas pueden ser divididas en dos:

  • Riesgos de Negocio: están generalmente relacionado con elementos externos a la organización, como ser, por ejemplo, el entorno económico, competitivo, legal, etc. Este tipo de Análisis soporta la Toma de Decisiones en el plano Estratégico de la Organización.
  • Riesgos Operacionales: están íntimamente ligados con las operaciones internas de la empresa. En nuestro caso, los Riesgos de TI y SI son riesgos netamente operacionales.

Definición
de Riesgo

Metodología de
Análisis de Riesgos

Existe dos enfoques complementarios, que pueden ser integrados potenciando su resultado, o realizados en forma independiente uno de otro:

  • Análisis de Procesos: Consiste en analizar los procesos y controles que administran los Riesgos desde una óptica de Diseño, permitiendo llegar a conclusiones de problemas endémicos que se repiten en el tiempo. (ej. El Administrador de la Red puede realizar cambios sin control asociado)
  • Análisis Técnico: Trabaja sobre los activos y su configuración, tratando de determinar desvíos respecto de estándares establecidos (ej. problemas de configuración del firewall)
  • Análisis Mixto: Luego de una revisión de los procesos y sus controles, para aquellos que son adecuados, se realizar una verificación técnica que corrobora los resultados (ej. existe un control de cambios sobre la red y el análisis de los dispositivos es adecuado).

Basado en los principales estándares de Análisis de Riesgos (BS 31100 / ISO 27005), de TI y SI (CobIT 4.2, ISO 27002, ITIL v.3), propone un esquema modular que complemente tanto el enfoque de procesos como el enfoque técnico, dando así una visión más completa y certera del estado de arte de la Seguridad y TI.

Nuestro
Servicio

Metodología
de trabajo.

  1. Capacitación del personal en la metodología para una adecuada transferencia de Know-How minimizando el requerimiento de una consultora para continuar el trabajo.
  2. URA (Unit Risk Assessment) por medio del cual se identifican los procesos críticos para la Organización a fin de determinar claramente el Alcance del trabajo a realizar. Se tienen en consideración tanto aspectos operacionales (ej. administración de redes, de usuarios, etc) como estratégicos (Plan Estratégico, Dirección Tecnológica, Estructura Organizacional, etc.)
  3. Esquema de Coaching / Self-Assessment, donde bajo nuestra supervisión, es la misma empresa quien realiza el Análisis versus un enfoque de Auditoría, donde nuestros especialistas realizan el Análisis.
  4. Se parte de un Análisis de Procesos, donde se identifican rápidamente las principales falencias de control que ponen en riesgo la Organización.
  5. Para aquellas actividades que se consideren críticas, se cuenta con la alternativa de reforzar las conclusiones con un Análisis Técnico.

Las conclusiones dan solución a temas técnicos específicos, como para orientar a la gerencia y unidades de Negocios.

NUESTROS SERVICIOS

Ethical Hacking / Vulnerability Assessment / PenTesting.

Análisis de Riesgos.

Concientización y Formación de Usuarios y Personal de TI.

Asesoría en TI/SI.

Implementación Sistemas de Gestión ISO 27000.

Gobierno y Gestión de TI/SI.

SOBRE NOSOTROS

PUBLICACIONES

CONTACTO

Whatsapp
Linkedin

contacto@root-secure.com