• Author / Uploaded
• Iván Rubio

• Categories
• Seguridad de información
• Tecnología
• Software
• La seguridad
• Vulnerabilidad (informática)

Citation preview

c
 FASE 1: CREAR ACTIVOS BASADOS EN PERFILES DE AMENAZAS Las principales áreas de la organización. Los activos más importantes de esas áreas. Las amenazas a esos activos. Los requisitos de seguridad de esos activos ue hace la organización para proteger sus activos (prácticas de protección de la estrategia). ñY Debilidades en las políticas de la organización y la práctica (las vulnerabilidades).

ñY ñY ñY ñY ñY

FASE 2: IDENTIFICAR LAS VULNERABILIDADES DE LA INFRAESTRUCTURA. ñY Evaluación a la infraestructura de la información ñY Componentes operativos clave de ah infraestructura de TI (vulnerabilidades de la tecnología). FASE 3: DESARROLLAR LA ESTRATEGIA Y PLANES DE SEGURIDAD ñY En esta fase se analizan los riesgos. ñY La información generada por las evaluaciones de la infraestructura organizativa y de información se analiza para identificar los riesgos de la empresa ñY Evaluación de los riesgos en función de su impacto en la misión de la organización. ñY Estrategia de protección para la organización y planes de mitigación frente a los riesgos de toma prioritaria son desarrollados.

CARACTERISTICAS: AUTODIRECCION: un pequeño equipo de personas de la organización, participan activamente en el proceso de toma de decisiones. ANALISIS DEL EUIPO: debe tener conocimiento de la organización y sus procesos del negocio. TALLER DE ENFOUE: CATALOGOS DE INFORMACION: OCTAVE SE BASA EN 3: a.Y Catálogo de prácticas, colección de buenas prácticas de seguridad estratégica y operativa. b.Y Perfil de riesgo: la gama de amenazas que una organización debe tener en cuenta. c.Y Catálogo de vulnerabilidades: basado en la plataforma y la aplicación.

Las FASES A SU VEZ SE DIVIDEN EN PROCESOS: Fase 1: Crear activos basados en perfiles de amenazas Proceso 1: Gestión del Conocimiento Identificar Superior Proceso 2: Área de Conocimiento Identificar operativos Proceso 3: Identificar los conocimientos del personal Proceso 4: Crear perfiles de amenaza Fase 2: Identificar las vulnerabilidades de la infraestructura Proceso 5: Identificar los componentes clave Proceso 6: Evaluación de Componentes seleccionados Fase 3: Desarrollar la estrategia y planes de seguridad Proceso 7: Realizar un análisis de riesgo Proceso 8: Desarrollar una estrategia de protección

PLANIFICACION PARA LA OCTAVA ʹ Para que sea exitoso:            - Este es el principal factor crítico de éxito para las evaluaciones de riesgo para la seguridad de información. Cualquier éxito de la evaluación se requiere de tiempo de las personas en la organización. Octave es un enfoque basado en talleres que requiere la participación de los miembros del personal de áreas operativas clave y los altos directivos deben participar en la octava. Si los altos directivos apoyan el proceso, personas de la organización tienden a participar activamente. Si los directivos no apoyan el proceso, el personal de apoyo para la evaluación se disipará rápidamente. La gente se pierda los talleres, y el equipo de análisis no tienen la capacidad de convencer a la gente a asistir. Si la gente sabe que la alta dirección está muy interesada en los resultados de la evaluación, el equipo de análisis tendrá la autoridad y el respaldo para convencer a la gente a asistir a los talleres.              - El equipo de análisis es el responsable de la gestión del proceso y análisis de información. Los miembros del equipo deben tener conocimientos suficientes para dirigir la evaluación. También necesitan saber cuándo hay que ir fuera del equipo para aumentar sus conocimientos y habilidades.  c
 - La evaluación debe incluir las áreas operativas importantes, pero el alcance no pueden ser demasiado grandes. Si el ámbito es muy amplio, será difícil para el equipo de análisis para analizar toda la información. Si el alcance de la evaluación es demasiado pequeño, entonces los resultados pueden no ser tan significativos como es debido.

         - Durante los talleres de elicitación del conocimiento (procesos 1-3), los miembros del personal de varios niveles de la organización contribuirán con su conocimiento de la organización. Es importante que estas personas puedan comprender sus zonas de operación. Se debe asignar a los talleres debido a sus conocimientos y habilidades, no sólo sobre la base de que está disponible.


   El objetivo de la planificación es para asegurarse de que la evaluación está en el ámbito correcto, que los altos directivos de la organización de apoyo a la evaluación, y que todos los participantes en el proceso comprende su papel y reciba una formación que se requiere. Las siguientes son las actividades de Planificación OCTAVA: ñY Obtener el patrocinio de la alta dirección de octava. Las actividades de planificación para la puesta en OCTAVE con el patrocinio de la alta dirección. Esto podría requerir reuniones informativas a los altos directivos para ayudarles a entender el proceso. ñY Seleccionar los miembros del equipo de análisis. Los representantes de ambas partes del negocio y tecnología de la información de la organización estará en el equipo de análisis. El tamaño del equipo de análisis es de tres a cinco personas. Los altos directivos deben participar en la selección de los miembros del equipo. Además, es útil que algunos de los miembros provienen de las áreas operativas que participarán en la evaluación. ñY Tren de equipo de análisis. El equipo de análisis de necesidades para ser entrenados en el método de octava. Cada miembro del equipo de análisis de necesidades para entender su papel en cada taller. ñY Seleccione las áreas operativas para participar en la octava. Una parte clave del proceso de planificación es la selección de las áreas operativas que participarán en el ámbito de la evaluación. Los altos directivos deben participar en esta actividad. ñY Seleccionar a los participantes. Los participantes de los talleres de elicitación del conocimiento (procesos 03/01) deben ser seleccionados. Además, las personas con habilidades especiales para aumentar el equipo de análisis en ciertos puntos en el proceso deben ser seleccionados. Los miembros del equipo de análisis dará lugar a la selección de los participantes. ue necesitan para tomar la entrada de los altos directivos, así como los directivos de la de cada una de las áreas operativas que participan en la evaluación. ñY Coordinar la logística. Los miembros del equipo de análisis de necesidad de asegurar que los locales, equipos, y cualquier otra información de apoyo están disponibles para todos los talleres. ñY Informar a todos los participantes. El equipo de análisis debe llevar a cabo una reunión informativa para todos los participantes antes de su participación en el proceso. ñY Una vez que la planificación se ha completado, la organización está lista para iniciar la evaluación.

     !"  #   $ % OCTAVA permite a los tomadores de decisiones establecer prioridades en relación sobre la base de lo que es importante para la organización. Esto implica examinar tanto la práctica de la organización y la base tecnológica instalada para identificar los riesgos de los activos de la organización. La evaluación de riesgos, OCTAVE, involucra a toda la empresa, incluido el personal del departamento de tecnología de la información y las líneas de negocio de la organización. Durante la Fase 1, el equipo de análisis facilita talleres con el personal de varios niveles de la organización. Durante estos talleres, los participantes deben identificar los activos importantes y discutir el impacto en la organización si los bienes están en peligro. Estos talleres se llevan a cabo la elicitación del conocimiento de los siguientes niveles de organización: dirección general, gestión de las áreas operativas (en el centro de gestión), y el personal. Usted debe notar que los niveles de la organización no se mezclan durante los talleres. Además, el personal de tecnología de la información que normalmente participa en un taller independiente de los miembros del personal en general. El objetivo de los talleres de elicitación del conocimiento es la identificación de la siguiente información de cada punto de vista organizativo: a.Y b.Y c.Y d.Y e.Y

Activos importantes y sus valores relativos. Supuestas amenazas a los activos. Los requisitos de seguridad. Las prácticas actuales de protección de la estrategia. Vulnerabilidades de la organización.

Un activo es algo de valor a la empresa. Los activos pueden incluir información (datos), los sistemas, software, hardware, y la gente. El método OCTAVE requiere que los participantes en estos talleres para examinar la prioridad relativa de los activos, con base en el impacto de la organización si el activo se pierde. Los participantes deberán examinar las amenazas a los activos de mayor prioridad que han identificado. Una amenaza es una indicación de un evento indeseable. Se refiere a una situación en la que una persona puede hacer algo indeseable (un hacker de iniciar un ataque de denegación de servicio contra el servidor de correo electrónico de una organización) o un fenómeno natural podría provocar un resultado no deseado (un incendio dañar el hardware de una organización de tecnología de información). Los participantes crean situaciones de amenaza sobre la base de las fuentes conocidas de la amenaza y los resultados típicos de la amenaza (del perfil de riesgo). Examinamos a continuación los participantes los requisitos de seguridad. Los requisitos de seguridad esquema de las cualidades de los activos de información que son importantes para una organización. OCTAVA requiere que el personal cuenta con los requisitos de seguridad siguientes para cada activo importante:

#     - la necesidad de mantener información confidencial, sensible o personal privado e inaccesible a cualquier persona que no está autorizado a ver ñY 

 - la autenticidad, exactitud e integridad de un activo ñY   "   - cuándo o con qué frecuencia un activo debe estar presente o listos para su uso

ñY

Finalmente, los participantes deben examinar las prácticas actuales de la estrategia de protección en relación con el catálogo de prácticas. Prácticas de seguridad son acciones que ayudan a iniciar, implementar y mantener la seguridad dentro de una empresa. Prácticas se centran en cuestiones estratégicas y operacionales. Una práctica específica de seguridad normalmente se centra en un público específico. Las audiencias de las prácticas son los administradores, los usuarios (personal en general), y el personal de tecnología de la información. Mientras que las prácticas de seguridad indican lo que una organización está haciendo para proteger sus activos, las vulnerabilidades de la organización se centran en lo que la organización no está haciendo bien. Vulnerabilidades de la organización son las debilidades en las políticas de la organización o práctica que puede resultar en acciones no autorizadas que ocurren. Durante esta parte del taller, los participantes llenar una encuesta y luego el equipo de análisis lleva a un debate en torno a las preguntas de la encuesta. Debe tener en cuenta que los resultados de cada taller sólo está presente la perspectiva de los participantes de ese nivel de organización. Durante el proceso final de la Fase 1, el equipo de análisis consolida toda la información, selecciona los activos críticos de la organización, y crea un perfil de riesgo de cada activo crítico. En el resto de esta sección se resumen los procesos de la Fase 1. c&c c'( El equipo de análisis facilita talleres de elicitación del conocimiento en los procesos de 1-3. La siguiente lista destaca la audiencia de cada uno de los procesos: Proceso 1: Identificar los conocimientos de Dirección - Los participantes en este proceso son los altos directivos de la organización. Proceso 2: Identificar los conocimientos operativos Área de Gestión - Los participantes en este proceso son el área operativa de la organización (centro) los administradores. Proceso 3: Identificar los conocimientos del personal - Los participantes en este proceso son los miembros de la organización del personal. El personal de tecnología de la información que normalmente participa en un taller independiente de los miembros del personal en general.     !      '(  Identificar los activos y las prioridades relativas. La primera actividad consiste en identificar los activos de información y determinar cuáles son más importantes para la empresa. Identificar áreas de preocupación. Los participantes construyen escenarios plausibles esbozar las preocupaciones sobre las amenazas a los activos de información importantes. Estas áreas

de preocupación son las probabilidades de carecer de suficientes detalles con respecto a los componentes de la amenaza, y que será examinada en el Proceso de 4. Identificar los requisitos de seguridad para los activos más importantes. Los participantes crear y documentar los requisitos de seguridad para cada activo importante con respecto a su confidencialidad, integridad y disponibilidad. Capturar el conocimiento de las prácticas de la estrategia de protección y las vulnerabilidades de la organización. Los participantes su punto de referencia las prácticas de seguridad en relación con conocidas buenas prácticas de seguridad. Los resultados de esta evaluación comparativa identificar las prácticas de protección de la actual estrategia de la empresa, así como las vulnerabilidades de la organización. &c c)  &&&*+ Los participantes en este proceso son los miembros del equipo de análisis. Durante el Proceso de 4, la información obtenida de los diferentes niveles organizativos en los procesos anteriores se agrupa, los activos críticos son elegidos, y un perfil de riesgo se crea para cada activo crítico.     !     )  Los activos del Grupo, los requisitos de seguridad, y áreas de preocupación por el nivel de la organización. Una visión integrada de los activos de información importantes, las áreas de interés y los requisitos de seguridad de los activos creados. Seleccione los activos críticos. La información agrupada se examina y los activos que son más críticos para el cumplimiento de los objetivos de la organización se identifican. Estos son conocidos como los activos críticos. Refinar los requisitos de seguridad para activos críticos. Los requisitos de seguridad para cada uno de los activos críticos se definen. Todos los requisitos de seguridad pertinentes que se generaron durante los talleres de elicitación del conocimiento se basa en y refinado. Identificar las amenazas a los activos críticos. Un perfil de riesgo de cada activo crítico se construye. Ellos utilizan el perfil de riesgos básicos como punto de referencia para crear la gama de escenarios de amenaza que afecta a cada uno de los activos críticos. Si es necesario, el perfil de amenaza básica se ha ampliado para hacer frente a nuevas fuentes de amenaza. Después de la vista completa de la organización (Fase 1), está listo para pasar a la vista tecnológica. La fase 2 de OCTAVE examina la infraestructura de la organización de tecnología de la información. En la siguiente sección, se describe la fase 2 de la octava. ,   #  ! "     #     Una evaluación de la vulnerabilidad es un examen sistemático de la base tecnológica de una organización para determinar la idoneidad de las medidas de seguridad de la organización, identificar las deficiencias de seguridad, proporcionan datos de los que para predecir la eficacia de las medidas de seguridad propuestas, y confirmar la idoneidad de las medidas de seguridad después de la implementación.

Una vulnerabilidad es una debilidad en un sistema de información, prácticas y procedimientos de seguridad, los controles administrativos, controles internos, la implementación de la tecnología, o la disposición física que podría ser explotado para obtener acceso no autorizado a información o para interrumpir el procesamiento de información. Una seguridad de la información de evaluación de riesgos incluye información sobre la vulnerabilidad al mostrar cómo las personas pueden utilizar las vulnerabilidades identificadas para obtener acceso a los activos de la organización.

Las vulnerabilidades de la tecnología se pueden agrupar en las siguientes categorias:  "       - - una vulnerabilidad que es inherente en el diseño o las especificaciones de hardware del sistema o software. Incluso la aplicación perfecta del diseño puede resultar en una vulnerabilidad de diseño.  "     .   - una vulnerabilidad que se produce a partir de un software defectuoso, o la aplicación de hardware de un diseño satisfactorio.  "   #    - una vulnerabilidad derivada de la configuración del sistema o los errores de administración. Cada sistema de tecnología de la información o componente tendrá muchas vulnerabilidades de la tecnología específica contra el cual se pueden comparar. OCTAVA requiere que la tecnología puede compararse con los de un catálogo de vulnerabilidades. Un catálogo de vulnerabilidades comúnmente utilizado es el Common Vulnerabilities and Exposures (CVE) *. CVE es una lista o diccionario que proporciona los nombres comunes de conocimiento público vulnerabilities8. Se permite que la información abierta y compartida sin ningún tipo de restricciones de distribución. Evaluaciones de vulnerabilidad de la tecnología de objetivo debilidades en la base tecnológica instalada de las organizaciones, incluidos los servicios de red, arquitectura, sistemas operativos y aplicaciones. Las actividades básicas realizadas durante una evaluación de la vulnerabilidad de tecnología son los siguientes: Identificar los principales sistemas de tecnología de la información y sus componentes. Examinar los sistemas y componentes para la tecnología de las debilidades. El enfoque de una evaluación de la vulnerabilidad de los sistemas y componentes para identificar y evaluar la configuración y la fuerza de los dispositivos de la red de la empresa (s). Con el tiempo, muchas herramientas se han desarrollado para poner a prueba los sistemas de sus debilidades. Evaluaciones de la vulnerabilidad a menudo imitan las amenazas conocidas o sospechosas mediante el uso de métodos y herramientas comunes para poner a prueba los sistemas y componentes y, finalmente, obtener acceso no autorizado.

ùay muchas herramientas de software disponibles para ayudar a automatizar el proceso de evaluación, incluyendo herramientas para la comprobación de integridad de archivos, escaneo de virus, protección de contraseña, sistema de escaneo, escaneo en red, y la cartografía de la red. Estas herramientas se pueden utilizar durante la fase 2 de la octava a identificar las vulnerabilidades de la tecnología. En el resto de esta sección se resumen los procesos de la Fase 2.   /   #  $  !  Los participantes en este proceso son el equipo de análisis y de los miembros seleccionados de la tecnología de la información (TI). Antes del taller, el equipo de análisis debe asegurar que la documentación del estado actual de la infraestructura informática está disponible. Los diagramas de topología de red que utiliza la organización para realizar sus actividades son suficientes para esta actividad. La clave es que la información de la topología de la red debe estar al día. Durante el Proceso 5, los componentes a evaluar las vulnerabilidades de la tecnología son seleccionados.     !     /  Identificar las clases de los componentes clave. El equipo de análisis y el personal de examinar las rutas de acceso de red en el contexto de escenarios de amenazas para identificar las clases de los componentes clave de los activos críticos. Esto les ayudará a determinar qué clases de componentes son importantes para cada activo importante. Identificar los componentes de la infraestructura para examinar. El equipo de análisis y personal de TI seleccionar componentes específicos de las clases clave a incluir en la evaluación de la vulnerabilidad, y determinar un método para llevar a cabo la evaluación de la vulnerabilidad.   0 !   $      Los participantes en este proceso son el equipo de análisis y de los miembros seleccionados del personal de tecnología de la información. Una evaluación de la vulnerabilidad de tecnología con el apoyo de herramientas de software se lleva a cabo antes del taller. El equipo de análisis y personal de TI revisar los resultados de la evaluación durante el taller.     !     0  Ejecutar las herramientas de evaluación de la vulnerabilidad en los componentes de la infraestructura seleccionada. Una evaluación de la vulnerabilidad de tecnología con el apoyo de herramientas de software se lleva a cabo. La evaluación puede ser realizada por personal de la organización de tecnología de información o por expertos externos, en función del enfoque que se ha seleccionado durante el proceso 5. La postura de seguridad de los entornos de red debe ser evaluada desde tres perspectivas: fuera de la empresa, dentro de la empresa, y de los sistemas individuales dentro de la empresa. Esto se completa antes del taller. Revisión de las vulnerabilidades de la tecnología y resumir los resultados. El equipo de análisis y de los miembros seleccionados del personal de TI revisar las vulnerabilidades de la tecnología

y crear un resumen de los resultados. Si los expertos externos llevaron a cabo la evaluación de la vulnerabilidad, entonces ellos también deberían participar en el taller. Después de la organización completa de la visión tecnológica, o la Fase 2 de Octave, que está dispuesta a desarrollar una estrategia de protección y planes de mitigación. Durante la Fase 3 de octava, el equipo de análisis identifica los riesgos de sus activos críticos, se desarrolla una estrategia de protección a la organización, y desarrolla planes de mitigación de los riesgos de los activos críticos. En la siguiente sección, se describe la fase 3 de octava. (  

    1     Una vez que los activos, las amenazas y las vulnerabilidades han sido identificadas, una organización está en condiciones de analizar la información e identificar los riesgos de seguridad de la información. El equipo de análisis dirige el esfuerzo de análisis de riesgos. El objetivo es determinar cómo las amenazas específicas afectan a los activos específicos. Un riesgo es esencialmente una amenaza, más los impactos resultantes de la organización sobre la base de ŒY ŒY ŒY ŒY

Divulgación de un activo tan importante Modificación de un activo esencial Pérdida o destrucción de un activo esencial Interrupción del acceso a un activo esencial

Un riesgo es una medida de la pérdida esperada en la ausencia de medidas de mitigación o medidas. Medición de la pérdida, o el impacto, puede ser cualitativa o cuantitativa de la naturaleza. La información cualitativa requiere una escala nominal u ordinal. La información cuantitativa requiere un cardenal o la relación escalar. Evaluar los riesgos de seguridad de información puede ser más difícil que evaluar otros tipos de riesgo, porque los datos con respecto a la probabilidad de la amenaza y el valor de los activos son a menudo limitadas. Además de los factores de riesgo están cambiando constantemente. Debido a estas limitaciones, muchas organizaciones utilizan mediciones cualitativas en el análisis de risks10. OCTAVA utiliza medidas cualitativas de impacto en su proceso de análisis de riesgos.

El análisis de riesgos en el Método OCTAVE se basa en la planificación de escenarios. El equipo de análisis construye una serie de escenarios de riesgo, o un perfil de riesgo, para cada uno de los activos críticos. El perfil de riesgo de un activo esencial comprende el perfil de riesgo de los activos críticos y una descripción narrativa del impacto resultante (s) a la organización. Dado que los datos con respecto a la probabilidad de amenaza se limitan a los escenarios, las probabilidades se supone que son más o menos iguales. Por lo tanto, el equipo de análisis establece prioridades en base a los valores de impacto cualitativo asignado a los escenarios. Después del análisis de riesgos se ha completado, el objetivo es reducir el riesgo a través de una combinación de las siguientes acciones:

ŒY Implementación de nuevas prácticas de seguridad dentro de la organización ŒY Tomar las medidas necesarias para mantener las prácticas de seguridad existentes ŒY La fijación de las vulnerabilidades identificadas Seguridad de la información afecta a toda la organización. En última instancia es un problema de negocios, cuya solución implica más que el despliegue de tecnología de la información. Una organización debe tener una visión estratégica para hacer frente a sus riesgos de seguridad de la información. Una evaluación de riesgo seguridad de la información puede ayudar a una organización evaluar la práctica de la organización, así como la base tecnológica instalada y tomar decisiones basadas en el impacto potencial de la organización. En el resto de esta sección se resumen los procesos de la Fase 3.   2 &  %       Los participantes en este proceso son los miembros del equipo de análisis. El objetivo del proceso es crear un perfil de riesgo.     !     2  Identificar el impacto de las amenazas a los activos críticos. Un perfil de riesgo se crea para cada activo importante al describir el impacto de cada resultado en el perfil de riesgo (divulgación, modificación, pérdida / destrucción, y la interrupción). Crear criterios de evaluación de riesgos. El equipo de análisis se establecen los criterios de evaluación, un punto de referencia por el cual se evalúan los impactos. Los Criterios de Evaluación sí Basan en Una Escala cualitativa (alto, Medio, Bajo). Evaluar el impacto de las amenazas a los activos críticos. El equipo de análisis asigna un valor de impacto para cada descripción de los resultados utilizando los criterios de evaluación como punto de referencia.

  3  

 4       Proceso de 8 incluye dos talleres. Los participantes en el primer taller para el proceso de 8 son los miembros del equipo de análisis y de determinados miembros de la organización (si el equipo de análisis de decisión para complementar sus habilidades y experiencia para el desarrollo de una estrategia de protección). El objetivo del proceso 8 es desarrollar una estrategia de protección para los planes de mitigación de la organización, por los riesgos para los activos críticos, y una lista de acciones de acciones a corto plazo.     !    $     3  Consolidar la información de la estrategia de protección. La consolidación de datos debe ser completado antes del taller. Uno o más miembros del equipo de análisis se puede consolidar los datos, no se requiere que el trabajo en equipo todo en la consolidación de los datos. Los resultados de la actividad a las prácticas de seguridad de referencia de los tres primeros procesos de OCTAVE se consolidan, siempre que el equipo de análisis de información sobre las

prácticas de protección de la estrategia utilizada actualmente por la organización, así como las vulnerabilidades de la organización. Crear una estrategia de protección. Los miembros del equipo de análisis de revisar la información sobre riesgos y estrategia de protección. A continuación, proponemos una estrategia de protección a la organización la intención de mantener las buenas prácticas que están presentes en la organización y para hacer frente a las vulnerabilidades de la organización. Crear planes de mitigación. El equipo de análisis propone planes de mitigación para reducir los riesgos de los activos críticos. Crear lista de acciones. Como los miembros del equipo de análisis desarrollar la estrategia de protección y planes de mitigación, se debe capturar cualquier acción a corto plazo que se identifican. En esta actividad, el equipo de análisis documenta formalmente los elementos de las acciones en una lista de acciones.       3, el equipo de análisis se presenta la estrategia de protección propuestas, planes de mitigación, y la lista de acciones a los altos directivos de la organización. Los directivos examinar y revisar la estrategia y los planes cuando sea necesario y luego decidir cómo la organización se basará en los resultados de la evaluación.     !         3  Revisar la información de riesgo. El equipo de análisis proporciona un contexto para los altos directivos, proporcionando un resumen de los perfiles de riesgo de cada activo crítico. También proporcionan un resumen de los resultados de la encuesta de la estrategia de protección, las prácticas de seguridad actuales de la organización, y las vulnerabilidades de la organización. Revisar y perfeccionar la estrategia de protección, los planes de mitigación, y la lista de acciones. El equipo de análisis se presenta la estrategia de protección, los planes de mitigación de riesgos de los activos críticos, y la lista de acciones. Los directivos que examinar y revisar, cambiar y agregar a ellos según proceda. Crear los siguientes pasos. Los directivos deciden cómo van a basarse en los resultados de la evaluación y cómo se puede apoyar una iniciativa de seguridad mejora continua. Después de que la organización ha desarrollado una estrategia de protección y planes de mitigación de riesgos, está listo para su aplicación. Esto completa el proceso de octava.