Objetivos
de las metodologías de análisis de riesgos
- Planificación de la reducción de riesgos
- Planificación de la prevención de accidentes
- Visualización y detección de las debilidades existentes en los sistemas
- Ayuda en la toma de las mejores decisiones en materia de seguridad de la información
Para el desarrollo de metodología
de análisis de riesgos informáticos es importante que se tengan en cuenta cada
una de las siguientes etapas.
- Caracterización del sistema
- Identificación de amenazas
- Identificación de vulnerabilidades
- Análisis de controles
- Determinación de la probabilidad de ocurrencia
- Análisis de impacto
- Determinación del riesgo
- Recomendaciones de control
- Documentación de resultados
Entre
las metodologías más utilizadas para realizar el análisis de riesgo a una
organización se encuentran
- Magerit
- Octave
- Mehari
- Nist
- Cramm
Breve
descripción de cada una de ellas:
Metodología Magerit:
Esta metodología de análisis y gestión de
riesgos observa diferentes actividades encaminadas a los activos que tiene una
empresa u organización para el tratamiento de la información pues entre sus
objetivos está por
enfatizarse en dividir los activos de la organización en variados grupos, para
identificar más detalladamente los riesgos y poder tomar medidas para evitar
así cualquier inconveniente o daños en la información, los resultados de
análisis de riesgos se pueden expresar de forma cualitativa y cuantitativa lo
que facilita a los encargados de las organizaciones u empresas expresar esos resultados
en valores económicos y así mismo actualizar su plan de contingencia.
Metodología Octave:
En esta metodología
es importante la identificación de recursos importantes, enfocar las
actividades de análisis de riesgos, relacionar las amenazas y vulnerabilidades,
evaluar los riesgos y crear una estrategia de protección. Esta metodología se
encarga de la construcción de los perfiles de las amenazas basados en los
activos que tenga la compañía con la identificación de la infraestructura y de
las vulnerabilidades para deacuerdo al análisis desarrollar planes y
estrategias de seguridad.
Metodología Mehari:
El principal objetivo de Meharies es proporcionar
un método para la evaluación y gestión de riesgos, concretamente en el dominio
de la seguridad de la información, conforme a los requerimientos de ISO/IEC27005:2008,
proporcionando el conjunto de herramientas y elementos necesarios para su
implementación.
La metodología Mehari integra cuestionarios de
controles de seguridad, lo que permite evaluar el nivel de calidad de los
mecanismos y soluciones encaminadas a a reducción del riesgo.
Metodología NIST:
National Institute of standards and technology U.S
– Instituto Nacional de estándares y tecnología de estados unidos, Incluye una
metodología para el análisis y gestión de riesgos de seguridad de la
información, alineada llamada NIST SP 800-30
Metodología Cramm:
Esta
metodología de análisis y gestión de riesgos fue desarrollada por el CCTA del gobierno del
Reino Unido, Cramm
incluye una amplia gama de herramientas de evaluación de riesgo que son
totalmente compatibles con 27001 y ISO que se ocupan de tareas como:
·
Activos
·
Evaluación
de impacto empresarial
·
Identificación
y evaluación de amenazas y vulnerabilidades
·
Evaluar
los niveles de riesgo entro otras.
·
CRAMM es
aplicable a todo tipo de sistemas y redes de información y se puede aplicar en
todas las etapas del ciclo de vida del sistema de información, desde la
planificación y viabilidad, a través del desarrollo e implementación del mismo.
CRAMM se puede utilizar siempre que sea necesario para identificar la seguridad
y/o requisitos de contingencia para un sistema de información o de la red
0 comentarios:
Publicar un comentario