Documente Academic
Documente Profesional
Documente Cultură
“MODELOS DE RIESGO
MAGERIT Y ESTÁNDAR AUSTRALIANO”
DIFERENCIAS
INTEGRANTES:
Daniela López Merino
Jonathan Riquelme Arévalo
PROFESOR:
Daniel Campos rieloff
AÑO 2009
Introducción
Los riesgos que soporta un sistema de información y el entorno asociable con él,
entendiendo por riesgo la posibilidad de que suceda un daño o perjuicio, es fundamental
para el desarrollo de la entidad y es por esto que es necesario minimizarlos al máximo.
Existen modelos de riesgo que recomiendan las medidas apropiadas que deberían adoptarse
para conocer, prevenir, impedir, reducir o controlar los riesgos investigados.
En este informe se presentan las fases o elementos de implementación del modelo de riesgo
MAGERIT y Estándar Australiano, ya que en estos se encuentran enfocadas las principales
diferencias de ambos, aunque estos se asemejan en su horizonte en identificar, analizar y
minimizar los riesgos en su impacto en la empresa.
AÑO 2009
Las diferencias que existen entre los modelos de riesgo MAGERIT y Estándar Australiano
están básicamente enfocadas en sus fases de implementación, ya que MAGERIT consta de
3 fases (planificación, análisis de riesgo y gestión de riesgo) y el Estándar Australiano de 7
etapas (contexto y la identificación, análisis, evaluación, tratamiento, comunicación y el
monitoreo). A continuación se presentan las etapas de cada modelo.
I. MAGERIT
1. Planificación
2. Análisis de riesgo
AÑO 2009
3. Gestión de riesgo
En este proceso se analiza la información elaborada de los impactos y riesgos
identificados en el proceso anterior, para posterior llevar a cabo planes para los
riesgo que se consideren inaceptables.
AÑO 2009
1. Establecer el contexto
• Establecer el contexto estratégico, organizacional y de administración de riesgos
en el cual tendrá lugar el resto del proceso.
• Deberían establecerse criterios contra los cuales se evaluarán los riesgos y
definirse la estructura del análisis.
2. Identificar riesgos
• Identificar qué, por qué y cómo pueden surgir las cosas como base para análisis
posterior.
3. Analizar riesgos
AÑO 2009
4. Evaluar riesgos
• Comparar niveles estimados de riesgos contra los criterios preestablecidos.
• Esto posibilita que los riesgos sean ordenados como para identificar las
prioridades de administración. Si los niveles de riesgo establecidos son bajos,
los riesgos podrían caer en una categoría aceptable y no se requeriría un
tratamiento.
5. Tratar riesgos
• Aceptar y monitorear los riesgos de baja prioridad. Para otros riesgos,
desarrollar e implementar un plan de administración específico que incluya
consideraciones de fondeo.
6. Monitorear y revisar
• Monitorear y revisar el desempeño del sistema de administración de riesgos y
los cambios que podrían afectarlo.
7. Comunicar y consultar
• Comunicar y consultar con interesados internos y externos según
corresponda en cada etapa del proceso de administración de riesgos y
concerniendo al proceso como un todo.
• La administración de riesgos se puede aplicar en una organización a muchos
niveles. Se lo puede aplicar a nivel estratégico y a niveles operativos. Se lo
puede aplicar a proyectos específicos, para asistir con decisiones específicas o
para administrar áreas específicas reconocidas de riesgo.
AÑO 2009
AÑO 2009
Conclusión
Es necesario definir un modelo de evaluación de riesgos que sirva para la empresa en la que
utilizara, los modelos existentes solo permiten evaluar amenazas conocidas. Esta
evaluación se puede hacer de forma cualitativa o cuantitativa.
Una parte Clave de estos modelos es la definición de una métrica que permite evaluar el
nivel de seguridad de un sistema, en la evaluación de esta métrica es preciso evaluar las
vulnerabilidades y, en eso de nuevo, hay dos posibilidades: una cuantitativa (más costosa) y
otra cualitativa (menos precisa y objetiva).
Estos 2 modelos son en si lo mismo solo que uno es mas adversa que otro, mientras el
australiano mide cuida los riesgos muy al punto, el modelo MAGERIT realiza una
inspección general, lo que nos sirve si tenemos seguridad de nuestros controles. El uso de
uno de estos modelos, estará sujeto solo a la aceptación al riesgo que cada empresa acepte.