VIDEO
HIGHLIGHT
Log InSign up
Vídeo-clase: Estándares y marcos de trabajo para la gestión del ciber-riesgo
SummaryTranscriptChat

Vídeo-clase: Estándares y marcos de trabajo para la gestión del ciber-riesgo

Introducción a la Gestión del Riesgo

Enfoques para la Gestión del Riesgo

  • En esta clase se abordarán diferentes estándares, marcos de trabajo y metodologías para la gestión del riesgo, identificando cuatro enfoques principales: estratégico, táctico, operativo y técnico.
  • El enfoque estratégico considera que la gestión de riesgos proporciona una ventaja competitiva a las organizaciones al diferenciarlas de sus competidores.

Estándares Internacionales

  • Se menciona el concepto de "enterprise risk management" (ERM), con referencia a la norma ISO 31000, actualizada en 2018, que establece principios y procesos para una adecuada gestión del riesgo.
  • La norma ISO 31010 (2011) detalla los procesos necesarios para realizar una gestión integral del riesgo y presenta técnicas clave para su identificación y análisis.

Marcos de Referencia

  • El marco "Risk Management Framework" (RMF) del NIST está orientado a evaluar riesgos relacionados con sistemas de información, complementando así el uso de ISO 31000.
  • Se sugiere incluir el RMF como buena práctica en la gestión estratégica del riesgo debido a su enfoque específico en sistemas informáticos.

Enfoque Táctico

  • La gestión táctica busca integrar información sobre riesgos, evaluando probabilidades e impactos en las organizaciones y proponiendo iniciativas estratégicas para su manejo.
  • Las normas ISO 27001 y 27002 son ampliamente utilizadas en entornos IT; estas normas definen dominios para evaluar niveles de madurez en ciberseguridad.

Evaluación de Madurez

  • La norma ISO 16244 se compone de bloques generales que permiten evaluar el nivel de madurez organizacional mediante políticas y procedimientos específicos.
  • Se propone utilizar el "Cybersecurity Framework" (CSF) del NIST como herramienta para evaluar programas de ciberseguridad tanto en entornos IT como críticos.

Metodologías Operativas

  • La metodología operativa utiliza enfoques reconocidos internacionalmente que detallan todos los procesos necesarios para gestionar riesgos con precisión.
  • Entre las metodologías destacadas se encuentra UGT, que permite una gestión gráfica e integral del riesgo; también se mencionan otras como SP800 o OCTAVE.

Enfoques Técnicos para la Evaluación de Riesgos

Herramientas y Métodos en la Gestión de Riesgos

  • Se discute el uso de herramientas específicas que ayudan a evaluar diferentes tipos de riesgos, enfocándose en cómo estas herramientas permiten entender las relaciones e interdependencias entre activos.
  • Se menciona el "efecto cascada", donde un incidente de seguridad puede afectar negativamente a otros activos relacionados, resaltando la importancia de considerar estas interconexiones.
  • La norma ISO 31.010 se cita como un marco que incluye diversas técnicas para la gestión de riesgos, destacando métodos como el FMAM (Failure Mode and Effects Analysis).
  • Otros enfoques mencionados incluyen análisis como FT (Fault Tree Analysis), así como extensiones y variantes que son relevantes para una evaluación más profunda.
  • Se concluye que existen múltiples aproximaciones para gestionar integralmente los riesgos, dependiendo del tipo y naturaleza del riesgo, así como del contexto organizacional y los sistemas evaluados.
Video description

Clase resumen en la que se explican los estándares, marcos de trabajo y metodologías más utilizados en la actualidad para gestionar riesgos en ciberseguridad para la asignatura de Análisis y gestión del riesgo (Máster en Ciberseguridad y Privacidad, Universidad Rey Juan Carlos, profesor Fernando Sevillano). Curso 2018/2019.