Desarrollada por el NIST (National Institute of Standard and
Technology) adscrita al Departamento de Comercio de los Estados Unidos, Su publicación inicial fue en el año 2002.
A diferencia de las demás metodologías está estructurada en
9 pasos:
- Caracterización del sistema a nivel de Tecnologías de la información como de su entorno operativo (Datos, software, personas, conectividad).
- Identificación de amenazas que puedan llevar a su materialización.
- Identificación de vulnerabilidades que puedan ser aprovechadas por una amenaza potencial.
- Análisis de controles implementados por la organización para la reducción de los riesgos.
- Determinación del riesgo , donde se clasifican por probabilidad.
- Análisis de impacto que pueda causar la materialización del riesgo.
- Determinación del riesgo, donde se evalúa los riesgos de acuerdo a las etapas anteriores.
- Recomendaciones de control de acuerdo a su eficacia, impacto, legislación y fiabilidad.
- Y por último la documentación de los resultados obtenidos.
http://www.securityartwork.es/wp-content/uploads/2012/03/3.jpg
http://www.nist.gov/
No hay comentarios:
Publicar un comentario