AUDITORÍA Y SEGURIDAD DE TECNOLOGÍAS DE INFORMACIÓN

Integrantes:

Huarache Velez, Grecia

Paico Bedon, Estefani

Segura Bejerano, Jose Luis

Moscol Soto, Rogger

METODOLOGÍAS BASADAS PARA LA GESTIÓN DE RIESGOS EN LOS PROYECTOS

Concepto de Gestión

La palabra gestión proviene del Latín gestĭo. Este término hace la referencia a la administración de recursos, sea dentro de una institución estatal o privada, para alcanzar los objetivos propuestos por la misma. Para ello uno o más individuos dirigen los proyectos laborales de otras personas para poder mejorar los resultados, que de otra manera no podrían ser obtenidos.

La gestión se sirve de diversos instrumentos para poder funcionar, los primeros hacen referencia al control y mejoramiento de los procesos, en segundo lugar se encuentran los archivos, estos se encargaran de conservar datos y por último los instrumentos para afianzar datos y poder tomar decisiones acertadas.  De todos modos es importante saber que estas herramientas varían a lo largo de los años, es decir que no son estáticas, sobre todo aquellas que refieren al mundo de la informática. Es por ello que los gestores deben cambiar los instrumentos que utilizan a menudo.

Una de las técnicas que se usa dentro de la gestión es la fragmentación de las instituciones. Esto quiere decir que se intentar diferenciar sectores o departamentos. Dentro de cada sector se aplicarán los instrumentos mencionados anteriormente para poder gestionarlos de manera separada y coordinarlo con los restantes.

Las personas que toman el compromiso de organizar y dirigir las instituciones suelen ser llamadas gestores. Los mismos son responsables de la rentabilidad y éxito de los organismos para los que trabajan.  Muchas de las personas que alcanzan  estos puestos lo hacen a través de la carrera que han hecho a lo largo de su vida, ocupando en diversos lugares en la institución para las que trabajan. Se considera que los buenos gestores poseen ciertas características es común. Algunas de ellas son el reconocimiento al buen desempeño de sus pares o subordinados y a su vez las buenas críticas que son capaces de realizar. Son idóneos para apoyar y ayudar al resto del personal cuando sea requerido, capacitándolos y orientándolos de manera clara, con objetivos precisos. Suelen ser personas que generan la comunicación sincera y que estimulan confianza entre los individuos con los que trabaja. Los buenos gestores suelen elegir de manera personal aquello con los que trabajará de cerca. Asimismo intenta ganar el respeto del personal con el que trabaja.

Hay quienes consideran que la gestión es un proceso en el cual pueden ser reconocidos ciertas etapas. La primera de ellas es la planificación, es en esta etapa donde se fijarán los objetivos a corto y largo plazo y el modo en que serán alcanzados. Es a partir de esta organización donde se determinaran el resto de las etapas.  Luego puede ser mencionada la organización, en este momento los gestores determinan detalladamente el procedimiento para alcanzar los objetivos formulados anteriormente. Para ello son creadas la disposición de las relaciones de trabajo y quien las liderará. Dicho de otra manera, se crea la estructura que organizará a la institución. La tercer etapa es la de liderar, en este caso se intenta que el personal posea una dirección y motivación, de tal manera que resulte posible alcanzar los objetivos. Por último debe ser mencionado el control, en este caso el o los gestores examinan si la planificación es respetada y los objetivos son cumplidos. Para ello deben ser capaces de realizar ciertas correcciones y direcciones si las normas no son acatadas.

Todo proceso está definido por un diagrama, que intenta modelar el comportamiento de él, además de identificar las principales actividades que se desarrollan al interior del proceso, para entregar el resultado deseado, que en este caso, es un producto de calidad. El proceso de Gestión de Riesgo puede ser modelado por un conjunto de cinco actividades: Identificar, Analizar, Planificar, Vigilar y Controlar [Vans92].

A pesar que el diagrama muestra acciones secuenciales, todas las actividades ocurren continua y concurrentemente, puesto que los riesgos son controlados en paralelo mientras, al mismo, tiempo, nuevos riesgos son definidos y analizados. A su vez, la planificación de un riesgo puede generar el descubrimiento de otros nuevos riesgos.

Metodologías de Gestión de Riesgo

MEHARI

Es un conjunto de herramientas y funcionalidades metodológicas, utilizadas para la gestión de la seguridad y de las medidas asociadas, basado en un análisis de riesgo preciso. MEHARI proporciona un conjunto de enfoques y herramientas que permiten realizar un análisis de riesgo cuando es necesario.

¿Por qué fue creado?

El principal objetivo es proporcionar un método para la evaluación y gestión de riesgos, proporcionando el conjunto de herramientas y elementos necesarios para su implementación.

Nos proporciona un análisis directo e individual de situaciones de riesgos descritas en los escenarios.

Nos proporcionan un conjunto de herramientas específicamente diseñadas para la gestión de la seguridad a corto, mediano y largo plazo.

Se adapta a diferentes niveles de madurez y tipos de acciones.

¿Por qué utilizar MEHARI?

La necesidad puede ser, en función de la organización:

Un método permanente de trabajo. Un método de trabajo utilizado en paralelo junto a otras prácticas de

gestión de la seguridad. Un método de trabajo utilizado de forma ocasional para complementar

otras prácticas regulares.

¿A quiénes está dirigido?

Este método está pensado para profesionales IT y para los gerentes y dueños de negocio. Actualmente es posible hacer un curso para obtener la certificación en el método. Quienes posean la certificación, podrán aplicar la metodología en la empresa con mayor entendimiento y resultara en una mejor evaluación de los riesgos.

Fundamentos principales:

El principal fundamento de MEHARI es que las herramientas requeridas en cada fase del desarrollo de la seguridad, deben ser consistentes. Y cada resultado obtenido en una fase, debe poder ser reutilizado por otras herramientas o en otro lugar de la organización.

Aspectos:

Su modelo de riesgo (cualitativo y entitativo) El examen de la eficacia de las medidas de seguridad en vigor o previstas. La capacidad para evaluar y simular los niveles de riesgo derivados de las

medidas adicionales.

Ventaja:

El mérito principal de MEHARI es que las diferentes herramientas y métodos de esta metodología se pueden utilizar de forma separadas unas de otras en cualquier etapa del desarrollo de la seguridad, utilizando diferentes enfoques de gestión y garantizando la consistencia de las decisiones resultantes.

¿Cómo evalúa la seguridad MEHARI?

Mediante cuestionarios de control de seguridad, lo que permite evaluar el nivel de calidad de los mecanismos y soluciones utilizadas para la reducción del riesgo. Dicha evaluación la realiza mediante su base de datos de conocimiento, lo que permite evaluar el nivel de la calidad de las medidas de seguridad.

¿Qué cosas tenemos a disposición para trabajar con el método?

MEHARI incluye, directamente en las bases de conocimiento, las fórmulas para la evaluación directa de los riesgos y selección de las maneras de reducirlos. Las bases de conocimiento están disponibles como un libro (para Excel u Open Office), capaz de llevar a cabo la calificación y cuantificación de todos los elementos del riesgo.

Enfoques que proporcionan MEHARI

El enfoque que proporciona MEHARI, proviene de una base de datos de conocimientos y de procedimientos automatizados para evaluar los factores que caracterizan cada uno de los riesgos y su nivel.

Para evaluar el riesgo propone dos opciones:

1. Utilizar una serie de funciones de la base de conocimiento de MEHARI, que permiten integrar los resultados de los módulos de MEHARI.

Desde estas funciones se pues evaluar el nivel actual de riesgo y proponer medidas para su reducción.

2. Emplear una aplicación software que proporcione una interfaz más completa que permita simulaciones, visualizaciones y más optimizaciones.

Dominios que cubre MEHARI

MEHARI no se limita al domino IT. También cubre los sistemas de información, así como la protección del sitio en general, el entorno de trabajo y aspectos legales y regulatorios.

Resultados que brinda MEHARI

El módulo de analistas de amenazas de MEHARI proporciona dos tipos de resultados, los cuales son:

OCTAVE

Sus siglas significan: Evaluación de la vulnerabilidad ante amenazas desde el punto de vista operativo crítico, activo. Es un método de análisis de riesgos orientado a activos, y a la gestión de los riesgos para garantizar la seguridad de sistemas informativos, desarrollado por el CERT. Realiza una evaluación de riesgos en la seguridad de la información considera los temas organizacionales y técnicos, examina como la gente emplea la infraestructura en forma diaria.

Objetivo:Desarrollar una perspectiva de seguridad dentro de una organización, teniendo en cuenta perspectivas de todos los niveles para asegurarse que las soluciones puedan implementarse con facilidad.

Funciones: OCTAVE clasifica a los componentes de la empresa en activos y los ordena de acuerdo a su importancia en amenazas y vulnerabilidad.

Tipos de activos de OCTAVE:

Sistemas (Hardware, Software y Datos) Personas

Desarrollo:

OCTAVE fue desarrollada pensando en las empresas, y ser flexible y adaptada a cualquier entorno.

Procesos de Octave

Métodos de la metodología OCTAVE

Se basan en los criterios del estándar con un enfoque en la práctica y evaluación de la seguridad basada en la información de riesgo. Establecen los principios fundamentales de gestión de riesgos.

Método OCTAVE

Se desarrolló tomando en cuento a grandes organizaciones que tienen una jerarquía de trabajo y su propia infraestructura informática, también tienen herramientas de evaluación de la vulnerabilidad e interpretar los resultados en base a los activos críticos.

Método OCTAVE-S

Se desarrolló pensando en las organizaciones más pequeñas. Cumple con los mismos criterios que en método Octave pero adaptado a los limitados medios y restricciones de estas organizaciones.

Método OCTAVE ALLEGRO

Se centra en los activos de la información en muy apropiado para las personas que desean realizar la evaluación de riesgo sin una amplia participación de la organización.

Fases de Octave

Fase 1: Evaluación de los participantes desarrollando criterios de medición del riesgoFase 2: Crear un perfil de activos críticos y establecer límites claros que identifica sus necesidades de seguridadFase 3: Los participantes identifican las amenazas a la información de cada activoFase 4: Los participantes analizan los riesgos para los activos de información y desarrollan planes de mitigación o disminución de riesgos.[Web03]

METODOLOGÍA PMBOK

PMBOK es el estándar para la Administración de Proyectos y cuyas siglas significan en inglés Project Management Body of Knowledge (el Compendio del Saber de la Gestión de Proyectos en español).  Éste a su vez puede ser entendido como una colección de sistemas, procesos

y áreas de conocimiento que son universalmente aceptados y reconocidos como los mejores dentro de la gestión de proyectos.

El compendio de información proveída en el PMBOK provee a todo profesional que desee especializarse en ésta área de los fundamentos de la administración de proyectos para poder aplicarlo en campos tan disímiles como la electrónica, el desarrollo de software, construcción, proyectos web, proyectos en industrias alimentarias, etc.

HISTORIA DEL PMBOK

El PMBOK fue desarrollado por el PMI  (Project Management Institute por sus siglas en inglés o el Instituto de Gestión de Proyectos en español) a fines de los años ochenta con el objetivo de documentar, unificar y estandarizar los conocimientos y prácticas dentro del campo de la administración de proyectos.

Actualmente existen 05 versiones del PMBOK, siendo la quinta recientemente publicada por el PMI a mediados del 2012. Esta última edición comprende la documentación y explicación de 47 procesos de gestión y se caracteriza por presentar la noción de que cada área debe presentar su propio “Plan Maestro” con el fin de maximizar la eficiencia de cada una de éstas y liberar al proceso de cuellos de botella (por ejemplo: desarrollar un plan maestro para la Gestión de Recursos Humanos, un plan maestro para la Gestión de Calidad y así sucesivamente).

Cabe destacar que el PMBOK ha sido redactado en un lenguaje común, utlilizando conceptos que han sido universalizados en el campo de la gestión de proyectos, lo cual significa que cualquier profesional que recién se encuentre introduciendo en ésta área de especialización podrá comprender fácilmente un concepto presentado y relacionar su aplicabilidad en distintos tipos de proyectos por más disímiles que parezcan.

ALCANCE DEL PMBOK

El PMBOK documenta nueve áreas de conocimiento los cuales considera universales para casi todo tipo de proyectos así como cinco grupos de procesos.

Las áreas de conocimiento comprendidas en el PMBOK son: Integración, Alcance, Tiempo, Costos, Calidad, Recursos Humanos, Comunicación, Riesgo y Adquisiciones.

Los grupos de procesos por su parte son: de Iniciación, Planificación, Ejecución, Seguimiento y Control y Cierre.

Éstas áreas de conocimiento y grupos de procesos se encuentran relacionados entre sí, y la relación de los mismos es lo que conduce a una correcta gestión de proyectos y por tanto en esta documentación y sistematización de la documentación de los mismos reside el poder y alcance del PMBOK como la principal herramienta de todo profesional que busque especializarse en la Gerencia de Proyectos.

Metodología de análisis preliminar de riesgos (Método APELL).

Señala los principales aspectos que deben considerarse para establecer el análisis preliminar de riesgos, integrando de manera articulada elementos de salud, ambiente y riesgo industrial, para lo cual se divide en cuatro partes, cada una con peso dentro de la evaluación total:

1. Matriz de riesgos: 40 %.2. Elementos de gestión en seguridad, salud y ambiente: 20 %.3. Aspectos ambientales: 20 %.4. Otras características: 20 %.

La metodología adoptada se basa en el Programa de Concientización y Preparación para Emergencias a Nivel Local (APELL) el cual fue dado a conocer en 1988 por el Centro de Actividades del Programa de Industria y Medio Ambiente (UNEP IE/PAC) del Programa de las Naciones Unidas.

Esta metodología pretende obtener un análisis primario que permite conocer de manera general y anticipada los principales riesgos, siendo indicada para Organizaciones de carácter evidentemente industrial, Industrias químicas, Empresas petroleras, Industrias, Instalaciones u Organizaciones en general cuya actividad pueda producir daños medioambientales o para la seguridad de las personas.

Metodología de análisis y estrategias para el Control del Riesgo.

La metodología parametriza el análisis de un riesgo de modo muy completo, considerando las Amenazas que representa el riesgos, la Probabilidad y Consecuencias del Riesgo, la Vulnerabilidad de las personas, bienes, medio ambiente, infraestructuras y operaciones, así como las Estrategias para el Control del Riesgo.

Esta metodología se aplica a edificios y actividades de cualquier naturaleza, aunque estaría más indicado para edificios o actividades que no tengan una gran ocupación o personal en sus instalaciones, como por ejemplo Comercios, Restaurantes, Hoteles de pocas habitaciones, Residenciales, etc...

Metodología de matriz DOFA.

La matriz DOFA (conocido por algunos como DAFO y SWOT en inglés) es una herramienta de gran utilidad para entender y tomar decisiones en toda clase de situaciones. DOFA es el acrónimo de Debilidades, Oportunidades, Fortalezas y Amenazas, encabezados de una matriz que proveen un buen marco de referencia para analizar por ejemplo, los riesgos de una empresa.

Completar la matriz es sencillo, y resulta apropiada para reportes de investigación de los riesgos y amenazas en una Organización.El análisis DOFA es una evaluación subjetiva que ayuda a comprender, presentar, discutir y tomar decisiones. Puede ser utilizada en cualquier tipo de toma de decisiones, ya que la plantilla estimula a pensar pro-activamente.

La metodología analiza con meticulosidad y en profundidad los riesgos y amenazas de una Organización, siendo por tanto muy indicada para edificios críticos como Hospitales, Laboratorios, Centros de Salud, etc.

Metodología de matriz de supervisión de riesgos (Comité de Basilea)

En las últimas dos décadas los documentos publicados por el Comité de Basilea han tenido un gran impacto en el mundo de la supervisión bancaria, tanto en la regulación como en la práctica supervisora. Los principios establecidos en el Pilar 2 del documento consultivo del Comité de Basilea II, representan la base para reenfocar la supervisión, asignándole una doble finalidad: por un lado, asegurar que las entidades tienen el capital adecuado a sus riesgos y por otro, alentar el desarrollo y uso técnicas de gestión y control de riesgos.

En este contexto, Organismos Supervisores en diferentes países están en proceso de implementación de metodologías de supervisión basadas en la gestión de riesgos. Entre las experiencias desarrolladas se puede citar a la Office of the Superintendent of Financial Institutions (OSFÍ) de Canadá y al Banco de España.

Esta Metodología de matriz de supervisión de riesgos es clave en el proceso de supervisión basado en riesgos y orientada a Bancos e Instituciones financieras (Bolsa, Asesores bursátiles, Organizaciones de Inversión, etc...), debido a que realiza una evaluación cualitativa y cuantitativa de los riesgos inherentes de cada unidad de negocio o actividad significativa y la determinación del perfil de riesgo de la institución.

Es una metodología aplicable para este tipo de Organizaciones para el desarrollo de Planes BCM o Planes Continuidad de Operacione

Metodología de matriz de riesgos.

Señala los principales aspectos que deben considerarse para establecer el análisis preliminar de riesgos, pero no contempla elementos de salud, ambiente y riesgo industrial.

La metodología se basa en una parte concreta del Programa de Concientización y Preparación para Emergencias a Nivel Local (APELL), siendo indicada la aplicación de este método en Organizaciones, Empresas, Industrias e Instalaciones cuya actividad no origina riesgos medioambientales, como Organizaciones administrativas, Centros Comerciales, Galerías Comerciales, Edificios Comerciales, Comercios de cualquier naturaleza, Centros de Enseñanza, Universidades, Oficinas, Hoteles, Hospitales, etc.

Metodología de matriz de análisis de vulnerabilidad por amenaza.

Metodología aplicable a cualquier tipo de edificio y actividad, está indicada para edificios patrimoniales y edificios públicos, (Museos, Bibliotecas, Teatros, Hospitales, etc.) ya que contempla y evalúa en detalle la ocupabilidad y evacuación del mismo.

La determinación del grado o nivel de riesgo de la organización (Alto / Medio / Bajo), permitirá establecer los planes de acción específicos para prevenir la ocurrencia de una emergencia o minimizar las consecuencias de estos eventos.

El alcance de las acciones de prevención o minimización de consecuencias está basado en la “Aceptabilidad del Riesgo” para la organización, es decir que es tolerable o no en la organización.

Metodología de matriz de análisis de vulnerabilidad por amenaza.

Metodología aplicable a cualquier tipo de edificio y actividad, está indicada para edificios patrimoniales y edificios públicos, (Museos, Bibliotecas, Teatros, Hospitales, etc.) ya que contempla y evalúa en detalle la ocupabilidad y evacuación del mismo.

La determinación del grado o nivel de riesgo de la organización (Alto / Medio / Bajo), permitirá establecer los planes de acción específicos para prevenir la ocurrencia de una emergencia o minimizar las consecuencias de estos eventos.

El alcance de las acciones de prevención o minimización de consecuencias está basado en la “Aceptabilidad del Riesgo” para la organización, es decir que es tolerable o no en la organización.

Metodología de matriz de análisis de vulnerabilidad por amenaza.

Metodología aplicable a cualquier tipo de edificio y actividad, está indicada para edificios patrimoniales y edificios públicos, (Museos, Bibliotecas, Teatros,

Hospitales, etc.) ya que contempla y evalúa en detalle la ocupabilidad y evacuación del mismo.

La determinación del grado o nivel de riesgo de la organización (Alto / Medio / Bajo), permitirá establecer los planes de acción específicos para prevenir la ocurrencia de una emergencia o minimizar las consecuencias de estos eventos.

El alcance de las acciones de prevención o minimización de consecuencias está basado en la “Aceptabilidad del Riesgo” para la organización, es decir que es tolerable o no en la organización.

Metodología de matriz de evaluación y respuesta.

Metodología apropiada para los Planes de Continuidad de Operaciones. Valora los activos de la Organización, contemplando:La autenticidad, la confidencialidad, la integridad, la disponibilidad, el coste de reposición, el coste de mano de obra, la pérdida de ingresos y valor de la interrupción del servicio, las sanciones por incumplimiento de la ley, los daño a otros activos propios o ajenos, daño a personas y daños medioambientales, etc.

Es una metodología aplicable en la Organizaciones para el desarrollo de Planes BCM o Planes Continuidad de Operaciones.

Metodología de calificación de riesgos.

Es una forma más práctica de determinar un análisis de los riesgos en una Organización, contempla la probabilidad de que suceda un riesgo y la gravedad del mismo, determinando a partir de estos datos, el Grado de peligro de la amenaza, de manera que se pueden priorizar y disponer de una radiografía general de los escenarios analizados de un modo visual e inmediato.

La metodología es conocida por su sencillez en la aplicación y es óptima para Organizaciones, Empresas, Industrias e Instalaciones cuya actividad no origina riesgos medioambientales graves, como Organizaciones administrativas, Centros Comerciales, Galerías Comerciales, Edificios Comerciales, Comercios de cualquier naturaleza, Centros de Enseñanza, Universidades, Oficinas, Hoteles, Hospitales, etc.

Metodología de análisis de riesgos por colores.

De una forma general y cualitativa desarrolla el análisis de las amenazas y vulnerabilidades a personas, recursos, sistemas y procesos, con el fin de determinar el nivel de riesgo a través de la combinación de variables con códigos de colores.Aporta elementos de prevención y mitigación de los riesgos y atención efectiva

de los eventos que la organización, establecimiento o actividad pueda generar, los cuales constituirán la base para formular los planes de acción.

Se trata de una metodología muy visual, se aplica en Organizaciones, Empresas, Industrias e Instalaciones de todo tipo, como Organizaciones administrativas, Centros Comerciales, Galerías Comerciales, Edificios Comerciales, Comercios de cualquier naturaleza, Centros de Enseñanza, Universidades, Oficinas, Hoteles, Hospitales, Industrias, Almacenes, Talleres, etc...

Metodología simplificada de análisis de riesgos.

Un modo simplificado y práctico de realizar un análisis de los riesgos de una Organización, a partir de un análisis y valoración de los factores y de las condiciones que influyen sobre el riesgo potencial para las personas y el edificio, determinando el Índice de Probabilidad de ocurrencia y el Índice de Gravedad de las Consecuencias en caso de que el riesgo sucediera.

Con los datos anteriores, se obtendrá el Índice de Riesgo y a partir de él, se definirá el Control para mejorar las condiciones y la seguridad frente a los riesgos.

La metodología es muy utilizada por su sencillez en la aplicación y está indicada para todos los sectores y actividades, instalaciones y edificios.

Aunque existen otras metodologías, como se ha visto anteriormente, suele recurrirse a ésta por su sencillez, y porque muestra una visión global de la situación muy próxima a otras metodologías más complejas de aplicar.

Metodología de análisis de riesgos mediante matriz 'Leopold'.

Es un modo simplificado y práctico de realizar un análisis global de la situación de los riesgos y amenazas de una Organización, sin embargo no es una herramienta útil para el análisis de los impactos causados por dichas amenazas a la Organización.

Se trata de una matriz compuesta por dos ejes: en el eje horizontal se definen las Consecuencias ocasionadas en general sobre diversos aspectos de la Organización y en el eje vertical, los factores Naturales, Tecnológicos y Sociales que impactan sobre la Organización. Asignando valores en cada celdilla de la matriz, permite cuantificar (de 0 a 10) tanto la Magnitud del Impacto como la Gravedad del Impacto. Posteriormente sumando por filas y por columna las Magnitudes y las Gravedades, se identifican cuáles son las mayores amenazadas para la Organización y las consecuencias, permitiendo su posterior análisis y toma de decisiones.

La metodología es indicada para todos los sectores y actividades, instalaciones y edificios, siempre que no se quiera entrar a analizar en profundidad, sirve como un pre-proceso de identificación previa, para una análisis posterior más

detallado sólo de aquellas amenazadas potencialmente mayores que han sido detectadas y amenazan a la Organización.

Por lo tanto y aunque es una metodología sencilla y de obtención de resultados sencillos, hay que pensar que muy probablemente deberá utilizarse en combinación con otras que profundicen más la evaluación, en los aspectos más negativos detectados

Metodología de análisis sencilla de resultados: 'Guía Magerit'.

En el análisis de riesgos hay que trabajar con múltiples elementos que hay que combinar en un sistema para ordenarlo por importancia sin que los detalles, muchos, perjudiquen la visión de conjunto. La experiencia ha demostrado la utilidad de métodos simples de análisis llevados a cabo por medio de tablas como las que aquí se exponen, que sin ser muy precisas, sí aciertan en la identificación de la importancia relativa de los diferentes activos sometidos a amenazas.

Las tablas propuestas son las correspondientes a una de las técnicas para análisis y gestión de riesgos de la Guía metodológica Magerit, publicada por el Ministerio de Administraciones Públicas de España como un método simple, pero que permite acercarnos a similares resultados obtenidos aplicando métodos más complejos

MAGERIT

Es la metodología de análisis y gestión de riesgos de los sistemas de información. Ha sido elaborada por el Consejo Superior de Administración Electrónica (CSAE). Esta reconocida por ENISA (European Network and Information Security Agency). Facilita la implantación y aplicación del Esquema Nacional de Seguridad.

Objetivos

1. Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.

2. Ofrecer un método sistemático para analizarlos.3. Ayudar a descubrir y planificar las medidas oportunas para mantener los

riesgos bajo control.4. Preparar a la Organización para procesos de evaluación, auditoria, certificación

o acreditación, según corresponda en cada caso.

EAR/PILAR

PILAR es una herramienta que implementa la metodología MEGARIT de análisis y gestión de riesgos, desarrollada por el Centro Cristológico Nacional (CCN) y de amplia utilización en la administración publica española.

REFERENCIAS BIBLIOGRAFICAS

[Jone94] Jones, C., Assessment and Control of Software Risk. Prentice Hall,

1994.

[Higu94] Higuera, R., Dorofee, A., Walker, J., Williams, R., Team Risk

Management: A new model for Customer-Supplier Relationship,

Special Report CMU/SEI-94-SR-5, Julio de 1994.

[Kirk92] Kirkpatrick, R., Walker, J., Firth, R., Software Development Risk

Management: An SEI Appraisal, 1992 SEI Technical Review, 1992

[Gall97] Gallager, B., Alberts, C., Barbour, E., Software Acquisition Risk

Management Key Process Area (KPA) – A Guidebook Version 0.02,

CMU/SEI-97-HB-002, 1997

[Mill97] Miller, R., Quality and Risk Management. Spring 1997 Term Paper,

Abril de 1997.

[Vans92] Van Scoy, R., Software Development Risk: Oportunity, Not Problem.

Technical Report CMU/SEI-92-TR-30, Septiembre de 1992.

[Web01] http://concepto.de/concepto-de-gestion/

En este sitio puedes encontrar diferentes conceptos.

[Web02] http://neon.airtime.co.uk/users/wysywig/risk_1.htm

En este sitio se puede obtener variados conceptos acerca de Gestión de

Riesgo y de herramientas.

[Web03] http://prezi.com/4vehxgk2xprw/metodologia-de-analisis- octave/?

utm_source=website&utm_medium=prezi_landing_related_solr&utm_campai

gn=prezi_landing_related_author