2.7.1 OS/

La gestión de riesgos consiste en encontrar y controlar los riesgos para los activos de información de la organización.
Temas:
Core Tier1

Identificación de riesgos
1. La identificación de activos es la catalogación de activos de información en una organización, como bases de datos o hardware, para ayudar en la determinación del riesgo en caso de que los activos se vean comprometidos o se pierdan. Las amenazas incluyen cualquier evento que aproveche una vulnerabilidad que tenga el potencial de causar pérdidas o daños a la organización. Las organizaciones utilizan cada vez más la inteligencia de amenazas (modelado de amenazas) para mantener la conciencia y la capacidad reactiva ante amenazas existentes y emergentes.
Evaluación y análisis de riesgos.
1. El análisis de riesgos es el proceso organizacional para determinar y abordar posibles pérdidas accidentales o intencionales.
2. Diseñar e implementar procedimientos para minimizar el impacto de estas pérdidas.
3. También puede abarcar análisis de amenazas e inteligencia de amenazas.
Amenazas internas
1. Una persona privilegiada se define como cualquier persona con acceso autorizado a los recursos de una organización, incluido el personal, las instalaciones, la información, los equipos, las redes y los sistemas.
2. Una amenaza interna se define como el riesgo de que una persona interna utilice su acceso autorizado, consciente o inconscientemente, para dañar su organización.
3. Robo de información y tecnología patentadas; daños a las instalaciones, sistemas o equipos de la empresa; daño real o amenaza de daño a los empleados; u otras acciones que impidan a la empresa llevar a cabo sus prácticas comerciales normales.
4. Comportamientos motivo-medio-oportunidad: factores de motivación y disciplina, responsabilidad, conciencia y control de calidad.
5. El FBI ha desarrollado materiales que incluyen indicadores útiles para identificar posibles riesgos de amenazas internas.
Modelos y metodologías de medición y evaluación de riesgos
1. Enfoques tanto cuantitativos como cualitativos para la evaluación de riesgos, aplicación de modelos y métodos para diversos contextos comerciales (por ejemplo, HIPAA para instalaciones de atención médica).
2. Las herramientas de interés podrían incluir la autoevaluación Cyber Resilience Review
3. Herramienta de evaluación de ciberseguridad (CSET), así como herramienta de evaluación de riesgos de seguridad de HSS.
control de riesgos
1. Evaluación y ranking de riesgos y las categorías Evitar, Reducir, Transferir, Aceptar.
2. Metodologías de control de riesgos ampliamente utilizadas y disponibles para la exposición y la práctica.

Objetivos de Aprendizaje:
Core-Tier1:

Describir la gestión de riesgos y su papel en la organización [Usar]
Describir técnicas de gestión de riesgos para identificar y priorizar factores de riesgo para activos de información y cómo se evalúa el riesgo [Usar]
Analice las opciones de estrategia utilizadas para tratar el riesgo y esté preparado para seleccionar entre ellas cuando se le proporcione información general [Usar]
Describir metodologías populares utilizadas en la industria para gestionar el riesgo [Usar]

Generado por Ernesto Cuadros-Vargas , Sociedad Peruana de Computación-Peru, basado en el modelo de la Computing Curricula de IEEE-CS/ACM