Analisis de Riesgos

Análisis de Riesgos

��

1

Ramiro Cid | @ramirocid


Índice ��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

2


Análisis de riesgos: Primer acercamiento



“Corresponde al proceso de identificar los riesgos, desde el punto de vista de la seguridad, determinando su magnitud e identificando las áreas que requieren medidas de salvaguarda”.


Gestión global de Seguridad de un Sistema de Información

Fases: Análisis y Gestión de Riesgos Establecer Planificación de Seguridad Implantar Salvaguardas Monitorización y gestión de Cambios en la Seguridad

Determinar Objetivos y Política de Seguridad


¿Qué es un Análisis de Riesgos?

?

Documento donde se describe, para su posterior análisis y ayuda a la toma de decisiones... ¿qué hay en el sistema? ¿qué amenazas le afectan? ¿qué hay que hacer para no verse afectado por ellas?


Plan Director de Seguridad 

Análisis de Riesgo (Problemas encontrados) [A.R.]



Gestión de Riesgos (Propongo soluciones) [G.R.]

[A.R.] + [G.R.] = Plan Director de Seguridad [P.D.S.]


Resumen del procedimiento de análisis

Identificación y valoración de activos Análisis de Riesgos Valoración de amenazas y vulnerabilidades

Gestión del riesgo


Evaluación de riesgos y gastos Gestión del riesgo: Proceso de equilibrar el coste de protección con el coste de exposición. Riesgos

Decisiones:

Seguridad

Coste de Equilibrio

 Aceptarlo  Asignación 

Evitarlo

a terceros Nivel de Seguridad


¿Por qué realizarlo?





Permite identificar los riesgos de la seguridad de la información que podrían afectar en el desarrollo de las actividades de negocio Facilita la correcta selección de las medidas de seguridad a implantar



Creación de los plantes de contingencias en previsión de las amenazas detectadas



Necesario en el diseño, implantación y certificación de un SGSI (es el primer paso en la implementación de un SGSI)


Tipos de Análisis Hay dos tipos de análisis de riesgos según las cosas que tienen en cuenta: 

Intrínseco es aquel que se realiza sin tener en cuenta aquellas contramedidas que ya se están aplicando. 



Da como resultado el Riesgo Intrínseco

Residual es aquel que se realiza teniendo en cuenta las contramedidas ya aplicadas. 

Da como resultado el Riesgo Residual


Elementos del Análisis 

Activos: Los activos son todos aquellos elementos que forman parte del Sistema de Información.



Amenazas: Las amenazas son todas aquellas cosas que le pueden suceder a los activos que se salen de la normalidad.



Vulnerabilidad: Debilidad en activos que pueden ser aprovechadas por las amenazas para dañar a un activo (son los agujeros de seguridad).



Impacto: Consecuencia de la materialización de una amenaza sobre un activo


Elementos del Análisis (continuación) 

Controles: Son todos aquellos mecanismos que permiten reducir las vulnerabilidades de los sistemas.



Riesgos: Son el resultado del análisis de riesgo. El riesgo es una ponderación del valor del activo, la probabilidad que suceda una amenaza y el impacto que tendría sobre el sistema.

Riesgo = Valor Activo + Probabilidad + Impacto


Relaciones

Aprovechan las

Amenazas

Incrementan

Protegen contra

Vulnerabilidades

Incrementan

Riesgos

Controles

Generan

Requerimientos de Seguridad

Exponen

Activos

Poseen Generan

Incrementan

Valor de los activos e impactos potenciales


Algunas Conclusiones



Lo que se pretende en la Gestión de riesgos es reducir la probabilidad y/o el impacto. La amenaza no se puede reducir, lo que se intenta es eliminar la vulnerabilidad para que con esto la probabilidad de ocurrencia de la amenaza disminuya o sino se trata de que el impacto en caso de ocurrencia sea menor



Una buena práctica utilizada para empresas grandes es aplicar primero NIST para filtrar los riesgos altos, luego se realiza sobre estos Magerit o CRAMM sobre estos


Metodologías (I): MAGERIT

Es una metodología de Análisis y Gestión del Riesgos de los sistemas de información desarrolladas por el Ministerio de Administraciones Públicas. Solo se aplica en el ámbito español.


Fases de MAGERIT

Toma de datos. Procesos de la Información

Dimensionamiento. Establecimiento de Parámetros

Análisis activos Y salvaguardas

Establecimiento impactos

Establecimiento vulnerabilidades

Análisis de amenazas

Análisis Riesgo Intrínseco

Influencia de salvaguardas

Análisis Riesgos efectivo

Evaluación de riesgos


Toma de datos y procesos de la información



Objetivos: 

Definir el área de aplicación del estudio (alcance) y el objetivo final del análisis de riesgos.



Tener una visión global del proceso de información en la organización.



Establecer el grado de análisis en unidades homogéneas en todo el alcance (granularidad)


Establecimiento de parámetros Parámetros para valorar los activos y salvaguardas: Se debe asignar una valoración económica a los activos.  

Valoración real: valor que tiene para la empresa la reposición del activo en las condiciones anteriores a la acción de la amenaza Valoración estimada: medida subjetiva de la empresa que, considerando la importancia del activo, le asigna un valor económico. Valoración

Rango

Valor

Muy Alto

Valor > 200.000€

300.000€

Alto

100.000€< valor > 200.000€

150.000€

Medio

50.000€< valor > 100.000€

75.000€

Bajo

10.000€< valor > 50.000€

30.000€

Muy bajo

< 10.000€

10.000€


Establecimiento de parámetros Para la estimación de la vulnerabilidad, hay que estimar la frecuencia de ocurrencia de las amenazas en una escala de tiempos.

Vulnerabilidad

Rango

Valor

Extrema Frecuencia

1 vez al día

0,997

Alta Frecuencia

1 vez cada 2 semanas

0,071

Frecuencia media

1 vez cada 2 meses

0,016

Baja Frecuencia

1 vez cada 6 meses

0,005

Muy baja Frecuencia

1 vez al año

0,003


Establecimiento de parámetros Parámetros para la estimación del impacto, hay que estimar el grado de daño producido por la amenaza en los activos

Impacto

Valor

Muy alto

99%

Alto

75%

Medio

50%

Bajo

20%

Muy bajo

5%


Establecimiento de parámetros Parámetros para estimar la influencia de las salvaguardas: disminuyen el riesgo calculado (probabilidad o impacto)

Variación impacto/vulnerabilidad

Valor

Muy alto

95%

Alto

75%

Medio

50%

Bajo

30%

Muy Bajo

10%


Definición de activos

Los activos son todos aquellos elementos que forman parte del Sistema de Información.


Detección y Clasificación de activos



Activos físicos: Hardware 



Los activos físicos son aquellas cosas que forman parte de la empresa como material de ayuda a desempeñar una actividad. Ejemplo: Ordenador, Impresora, ...

Activos lógicos: Software 

Los activos lógicos son aquellos programas o datos que forman parte del conocimiento de la empresa para desempeñar la actividad. Ejemplo: BD, Intranet Corporativa, ...


Detección y Clasificación de activos



Personal: Roles del Sistema 

Los roles del personal relacionados con la seguridad, son todas aquellas responsabilidades que hay que asumir en cuanto a la seguridad del sistema.    

Forum de seguridad Responsable de seguridad Operador de Copia de Seguridad ...


Detección y Clasificación de activos 

Entorno   



Aire Acondicionado Sistema Eléctrico instalaciones adicionales

Imagen Corporativa 

La fiabilidad, y la imagen de la empresa son uno de los activos más importantes a la hora que los clientes depositen en ella su confianza.


Detección y Clasificación de activos 

Se clasifican según su:    

Confidencialidad (libre, restringida, protegida, confidencial, etc.) Autenticación (baja, normal, alta, crítica) Integridad (bajo, normal, alto, crítico) Disponibilidad (menos de una hora, menos de un día, menos de una semana, más de una semana)


Valoración de activos VALORACIÓN: Coste TOTAL que tendría para la empresa su pérdida:    

Valor de reposición Valor de configuración, puesta a punto, etc. Valor de uso del activo Valor de pérdida de oportunidad


Definición de amenazas

Las amenazas son todas aquellas cosas que le pueden suceder a los activos que se salen de la normalidad


Tipo de amenazas Las amenazas normalmente dependen del negocio de la empresa y del tipo de sistema que se quiere proteger

Ejemplos:    

Empresa de desarrollo de sistemas ISP Colegio Profesional Universidad


Listado de amenazas



Accidentes



Errores



Amenazas Intencionales Presenciales



Amenazas Intencionales Remotas


Amenazas - Accidentes 

Accidente físico 



Avería 



De origen físico o lógico, debida a un defecto de origen o durante el funcionamiento del sistema.

Interrupción de Servicios esenciales   



Incendio, explosión, inundación por roturas, emisiones radioeléctricas, etc.

Energía Agua Telecomunicación

Accidente mecánico o electromagnético:   

Choque Caída Radiación


Listado de amenazas



Accidentes



Errores








Amenazas - Errores 

Errores de utilización del sistema, provocados por un mal uso, ya sea intencionado o no



Errores de diseño conceptuales que puedan llevar a un problema de seguridad



Errores de desarrollo derivados de la implementación de alguna aplicación o de la implantación de un sistema en producción


Amenazas - Errores



Errores de actualización o parcheado de sistemas y aplicaciones



Monitorización inadecuada



Errores de compatibilidad entre aplicaciones o librerías



Errores inesperados 

Virus



Otros ¿?


Listado de amenazas



Accidentes



Errores











Acceso físico no autorizado 



Destrucción o sustracción

Acceso lógico no autorizado Intercepción pasiva de la información  Sustracción y/o alteración de la información en tránsito 





Indisponibilidad de recursos Humanos: motivos de huelga, abandono, enfermedad, baja temporal, etc  Técnicos: desvío del uso del sistema, bloqueo, etc 



Filtración de datos a terceros: apropiación indebida de datos, particularmente importante cuando los datos son de carácter personal (LOPD)


Listado de amenazas



Accidentes



Errores








Amenazas Intencionales Remotas 

Acceso lógico no autorizado Acceso de un tercero no autorizado explotando una vulnerabilidad del sistema para utilizarlo en su beneficio.



Suplantación del origen Intercepción de una comunicación escuchando y/o falseando los datos intercambiados


Amenazas Intencionales Remotas 

Gusanos 



Virus que utilizan las capacidades de servidores y clientes de internet para transmitirse por la red. Ejemplo: CodeRed, Nimda, Klez, y todas las variantes.

Denegación de servicio  

Contra el ancho de banda: Consumir todo el ancho de banda de la máquina que se quiere aislar Contra los recursos físicos del sistema: Consumir toda la memoria y los recursos que la máquina utiliza para ofrecer su servicio


Definición de vulnerabilidad Debilidad o agujero en la organización de la seguridad ¡Una vulnerabilidad en si misma no produce daños. Es un condicionante para que una amenaza afecte a un activo!


Vulnerabilidades El cruce de un activo sobre el que puede materializar una amenaza, da lugar a una vulnerabilidad

Activo 01 - Servidor

Amenaza

Vulnerabilidad

Fallo del sistema eléctrico

Dependiente de la corriente

Acceso lógico no autorizado

Accesibilidad al sistema


Definición de impacto

Es la consecuencia de que una amenaza se materialice sobre un activo


Valoración de Impactos Identificación de impactos:    

Como el resultado de la agresión de una amenaza sobre un activo El efecto sobre cada activo para poder agrupar los impactos en cadena según la relación de activos El valor económico representativo de las pérdidas producidas en cada activo Las pérdidas pueden ser cuantitativas o cualitativas


Acción de las salvaguardas Se analiza el efecto de las salvaguardas sobre los impactos y/o las vulnerabilidades Preventivas:  

Disminuyen la vulnerabilidad Nueva vulnerabilidad= (Vulnerabilidad+% disminución vulnerabilidad)

Curativas:  

Disminuyen el impacto Nuevo impacto= (Impacto+disminución impacto)


Evaluación de riesgos Identifica el coste anual que supone la combinación de activo, amenaza, vulnerabilidad e impacto.

Riesgo intrínseco 

Valor activo * Vulnerabilidad * Impacto

Riesgo efectivo 

Valor efectivo * Nueva vulnerabilidad * Nuevo Impacto= Valor activo * (Vulnerabilidad * % Disminución Vulnerabilidad) * (Impacto * % Disminución Impacto)= Riesgo intrínseco * % Disminución Vulnerabilidad * % Disminución del Impacto


Gestión de Riesgos Gestionar los riesgos identificados: 

Determinar si el riesgo es aceptable  

SI: Identificar y aceptar el riesgo residual  NO: Decidir sobre la forma de gestionar el riesgo x

Forma de gestionar el riesgo:    

Evitarlo: suprimir las causas del riesgo: Activo, Amenaza, Vulnerabilidad Transferido: cambiar un riesgo por otro: Outsourcing, seguros, etc. Reducirlo: reducir la amenaza, vulnerabilidad, impacto Asumirlo: Detectar y recuperar (Statu quo).


Gestión de Riesgos Identificar requisitos de seguridad

Identificar requisitos de seguridad

Eliminar el origen del riesgo, o transferido

¿Hacemos algo?

¿Reducimos riesgos?

Proceso de reducción de nivel de riesgo

Selección de controles


Gestión de riesgos Una vez se tiene decidido que es lo que hay que hacer se elaborar el: PLAN DE ACCIÓN

     

Establecer prioridades Plantear un análisis de coste-beneficio Hacer la selección definitiva de controles a implantar Asignar responsabilidades Desarrollar un plan de gestión de riesgos Implantar los controles

Análisis de Riesgos 4

5

6

Personal de PC's entorno de

desarrollo de SW y HW

PC's desarrollo

PC's hardware

EN-003

SI-001

SI-002

50000

10000

10000

pruebas

DIA

AÑO

30,82

11.249,3

61,65

22.502,2

3,08

1.124,2

Resumen. Vulnerabilidad /Impacto y Riesgo intrínseco22.502,

Nº

Código

Nombre

0,003

50%

0,003

SI-003

2500 50%

0,003

50%

Incendio en oficinas 1

-

A1-001

13,70 0,005

13,70 50%

0,005

3,42 50%

0,005

50%

Avería hardware 3

-

A2-001

27,40 0,003

27,40 5%

0,003

6,85 5%

0,003

5%

Acceso físico a oficinas 5

-

P1-001

1,37 0,005

Acceso lógico interno a los sistemas 6

-

P2-001 0,00274

1,37 50%

0,005

0,34 50%

0,005

50%

27,40

27,40

6,85

61,65

22.502,2

-

-

-

68,49

24.998,8

50%

No disponibilidad de personal 8

68,49

P5-002 Riesgo intrínseco anual por activo

24.998,8 €

25.502, €

25.502 €

6.372,9 €

---

82.376,7


Metodologías: NIST ST 800-30 Metodología de origen Americano que se apoya en los siguientes pasos: Determinación del sistema Identificación de vulnerabilidades Identificación de amenazas Estudio de las salvaguardas Determinación de la probabilidad Análisis del impacto Determinación del Riesgo


Metodologías: NIST ST 800-30

Probabilidad de la amenaza

Impacto Bajo (10)

Medio (50)

Alto (100)

Alto (1.0)

Bajo

Medio

Alto

Medio (0.5)

Bajo

Medio

Medio

Bajo (0.1)

Bajo

Bajo

Bajo


Metodologías: NIST ST 800-30

Nivel de riesgo

Acciones

Alto

Aplica medidas para controlar el riesgo de forma inmediata

Medio

Aplica medidas para controlar el riesgo en un periodo de tiempo razonable

Bajo

Analizar si aceptar el riesgo o aplicar medidas de control


Metodologías: NIST ST 800-30 Acti Activvo

Director General Base Datos Cliente

Imagen

Vulne ulnera rabi bililida dadd Amen Amenaz azaa

Fuente N a t u r a l

H u m a n a

Característica E n t o r n o

D i s p o n i b i l i d a d

C o n f i d e n c i a l i d a d

I n t e g r i d a d

P r o b a b i l i d a d

I m p a c t o

R i e s g o

No cláusula de exclusividad

Oferta competencia

X

X X

0 ,5

100

Medio

Mala configuración

Publicación de datos privados

X

X

0 ,1

100

Bajo

Política firewall inadecuada

Cambio contenido Web

X

0 ,1

100

Bajo

X


Cálculo del Riesgo El riesgo es una ponderación del valor del activo, la probabilidad que suceda y el impacto que tendría sobre el sistema.

��


Riesgo

Proba bilida d

1

Im pa cto Valor

1

2

3

4

5

1

2

3

4

5

1

2

3

4

5

1

2

3

4

5

1

2

3

3

4

5

6

7

4

5

6

7

8

5

6

7

8

9

6

7

8

9 10

7

8

9 10 11

4

5

6

7

8

5

6

7

8

9

6

7

8

9 10

7

8

9 10 11

8

9 10 11 12

5

6

7

8

9

6

7

8

9 10

7

8

9 10 11

8

9 10 11 12

9 10 11 12 13

6

7

8

9 10

7

8

9 10 11

8

9 10 11 12

9 10 11 12 13

10 11 12 13 14

7

8

9 10 11

8

9 10 11 12

9 10 11 12 13

10 11 12 13 14

11 12 13 14 15

1 2 3 4 5 de 3 a 7 de 8 a 10 de 11 a 15

2

No e s ne ce sa rio control Control re come nda do Control obli ga torio

3

4

5 4

5


Ejemplo de Análisis de riesgos Internet Explorer (6.0; 5.5; 5.0; 4.01)

3

E01 - Errores de utilización

Susceptible a errores humanos de utilización

1

1

5

3

E02 - Errores de diseño, integración y explotación

Susceptible a errores humanos en los procesos de diseño, integración y/o explotación

3

3

9

3

E04 - Inadecuación de monitorización, trazabilidad, registro del tráfico de información

Existencia de una falta de revisión de logs, o de un proceso inadecuado de dicha revisión

3

1

7

3

E07 - Errores de actualización

Susceptible de no estar correctamente actualizado

3

2

8

3

AP03 - Acceso lógico no autorizado con alteración o sustracción de la información, en tránsito o de configuración

Debilidad en el control de acceso lógico al S.O.

4

3

10

Uso descuidado de los sistemas por parte de los trabajadores, dejando sus terminales accesibles

2

3

8

AT02 - Acceso lógico no autorizado con corrupción o destrucción de información en tránsito o de configuración


4

3

10

Debilidad en el sistema antivirus

1

3

7

AT03 - Acceso lógico no autorizado con modificación (inserción y/o repetición) de información en tránsito


4

3

10

3

3


Ejemplo de Análisis de riesgos Cálculos

4

E01- Errores de utilización

Los empleados comenten errores durante la realización de las diferentes tareas que pueden provocar la destrucción o modificación de las informaciones

1

2

7

4

E05 - Errores relacionados con la formación y la concienciación del personal

Uso descuidado de la información en papel por parte de los trabajadores, dejando información confidencial accesible

4

3

11

4

AP06 - Robo y sabotaje

Uso descuidado o inadecuado de los controles de acceso físico al edificio

3

5

12

Posibilidad de enviar información a través del correo electrónico sin ningún control de direcciones, tanto de remitente como de recepción

3

5

12

No está controlada la destrucción de los soportes en los que se guarda la información (destructora de papel, borrado seguro de las informaciones, etc.)

2

5

11

técnicos (de simulacione s

4

AT01 - Acceso lógico no autorizado con sustracción

Las informaciones enviadas no viajan encriptadas con los que podría ser posible interceptar y obtener dichas informaciones

2

4

10

4

AT03 - Acceso lógico no autorizado con modificación de información en tránsito

Las informaciones enviadas no viajan encriptadas ni firmados con los que podría ser posible interceptar y modificar dichas informaciones

2

3

9


Contramedidas Según el riesgo



Recomendaciones a la dirección una serie de contramedidas que pueden aplicar a su sistema para paliar el riesgo obtenido, ya sea intrínseco o residual


Evaluación de riesgos y gastos

 



Es necesario conocer su COSTE (anual) / VALOR Es necesario determinar claramente la RESPONSABILIDAD sobre cada activo Es necesario conocer qué AUTORIDAD existe


06

Referencias

Documentación para ampliar conocimientos: BSI e ISO: 1. Normas BSI: http://www.bsi-global.com 2. Web oficial de la ISO: http://www.iso.org/ 3. Wikipedia (ISO 17799): http://es.wikipedia.org/wiki/ISO/IEC_17799 4. Wikipedia (ISO): http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_para_la_Estandarizaci%C3%B3n Metodologías de Análisis de riesgos: 1. Web de AENOR (Asociación Española de Normalización y Certificación) http://www.aenor.es/ 2. Buscador de normas AENOR http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp 3. Magerit: Web del Consejo Superior de Administración Electrónica http://www.csi.map.es/ 4. CRAMM: http://www.cramm.com/ 5. NIST SP 800-30: Web oficial de la Nist: http://www.csrc.nist.gov/index.html 6. NIST SP 800-30: Publicaciones de la Nist: http://www.csrc.nist.gov/publications/nistpubs/ 7. Octave: http://www.cert.org/octave/


Comparativa de Metodologías – Valoración de los elementos de análisis: Activo Valoracion

Probabilida d que Amenaza Vulnerabilidad ocurra

Impacto

Riesgo

Magerit

Valor de la perdida diaria que Valor del % del valor del activo que resulta de la multiplicacion Frecuencia Activo X Activo Amenaza Y No lo requiere se pierde sí el impacto se del valor del activo con la Z (medido en €) produce probabilidad de ocurrencia de la amenaza

CRAMM

Activo X

Amenaza Y Vulnerabilidad W

Frecuencia Z [1-5]

[1-5]

Escala [3 a 15]

Alto-MedioNIST SP 800Activo X Amenaza Y Vulnerabilidad W 30 Bajo

Frecuencia Z AltoMedio-Bajo

Alto-Medio-Bajo

Alto, medio y bajo

Octave

[1-5]

Busca el riesgo más Frecuencia Activo X alto es un Amenaza Y Vulnerabilidad W Z árbol de desición

Busca el riesgo más alto es un árbol de desición


Comparativa de Metodologías: Puntos a Destacar País que la creo

Magerit

CRAMM

NIST SP 800-30

Octave

España

Reino Unido

Estados Unidos

Estados Unidos

Responsable Secretaría de Estado para la Administración Pública del Producto

Cramm. El cual pertenece a National Institute of Standards and Siemens Technology (NIST)

Software Engineering Institute (SEI) y Carnegie Mellon University (CMU)

Versión 1: http://www.csi.map.es/csi/pg5m http://www.csrc.nist.gov/index.html 22.htm Publicaciones: http://www.cramm.com/ http://www.cert.org/octave/ WebSite Versión 2: http://www.csrc.nist.gov/publication http://www.csi.map.es/csi/pg5m s/nistpubs/ 20.htm Versión 1 (1997) Ultima versión: CRAMM NATO OCTAVESM Method Version Publicación 800-30 (2002) Versiones Versión 2 (2006) V5.3 2.0

Herramienta para aplicar la metodología

Principales Conceptos

Herramientas: * PILAR * CHINCHON

Un gran numero de Según lo investigado, la norma herramientas de analisis y Según lo investigado, la norma no no especifica un producto en gestión de la información especifica un producto en concreto concreto para el analisis, habla resultante de estas (ejemplo: para el analisis genericamente de 'Vulnerability CRAMM Express) Evaluation Tools'

Activos, amenazas, Activos, amenazas, vulnerabilidades, impactos, vulnerabilidades, riesgos, riesgos y salvaguardas salvaguardas (contramedidas)

Amenazas, vulnerabilidades, riesgos, controles

Activos, amenazas, vulnerabilidades, riesgos


Comparativa de Metodologías: Puntos a Destacar

Magerit

CRAMM

NIST SP 800-30

Octave

* Analisis de riesgos * Analisis de riesgos * Analisis de riesgos * Analisis de riesgos * Gestión del riesgos * Gestión del riesgos * Gestión del riesgos * Gestión del riesgos * Plan Director de Seguridad * Plan Director de Seguridad * Plan Director de Seguridad * Plan Director de Seguridad * Pequeño grupo Quien lleva a interdiciplinario conformado * Pequeño grupo interdiciplinario * Pequeño grupo interdiciplinario * Pequeño grupo interdiciplinario conformado por empleados de la conformado por empleados de la conformado por empleados de cabo la por empleados de la misma misma empresa misma empresa la misma empresa metodología empresa La versión 4 costaba por el año * Habla de costo relacionado con el * No tiene costo, ya que es una 2001: beneficio, otorgando una condición * Uso Interno: Gratuito normativa de libre aplicación * Para una compañía comercial: relativa al costo de un plan director * Uso Externo: Se debe comprar * Plantea un analisis de costo £2800 + £850 al año de de seguridad, siempre que el costo la licencia al SEI si se quiere Costo beneficio, expresa una formula mantenimiento sea menor al costo del riesgo implementar la metodología a un de ROI (Retorno de la * Para agencias y departamentos analizado y solventado, el costo tercero inversión) del estado britanico: £1600 + será bajo £850 al año de mantenimiento Fase 1: Activos Critivos, requerimientos criticos para activos criticos, vulnerabilidades de activos criticos, lista de practicas de seguridad actuales, lista de vulnerabilidades * Tabla de valorazión del riesgo Resultado Resultados ordinales y * Lista de controles recomendados actuales de la organización sobre los activos (escala de 1 a del analisis cardinales * Resultados de la documentación Fase 2: Componentes clave, 10) (outputs) vulnerabilidades tecnologicas actuales Fase 3: Riesgos de los activos críticos, metricas del riesgo, estrategia de protección, planes de mitigación del riesgo Aplicación


Comparativa de Metodologías – Ventajas: Puntos a Destacar

Magerit

Ambito de Aplicación

N/A

Su utilización no requiere autorización Derecho de previa del Ministerio Ventajas Utilización de Administraciones Públicas

CRAMM

NIST SP 800-30

Octave

Se puede aplicar a nivel internacional (CRAMM v.5.1 ha Internacional Internacional sido usado en 23 países) N/A

N/A

* Uso interno: Ilimitado

Una gran cantidad Herramienta Gratuita pero limitada. de herramientas de N/A N/A para aplicar la Se puede solicitar una aplicación de la metodología versión ampliada metodología. Facilita la Facilitar la Facilita la Facilita la Certificación certificación: ISO certificación de BS certificación: certificación: ISO 17999 7799 e ISO 17999 ISO 17999 17999


Comparativa de Metodologías – Desventajas: Puntos a Destacar

Magerit

* Solo de puede aplicar a nivel nacional (sólo en España) por lo que no se está certificado internacionalmente Ambito de * No se puede aplicar en Aplicación empresas multinacionales que precisen aplicar una unica metodología de analisis de riesgo para todos los países Desventajas

Derecho de Utilización

N/A

CRAMM

NIST SP 800-30

Octave

N/A

N/A

N/A

* Hay que pagar * Hay que pagar el el costo de la costo de la licencia * Uso externo: licencia (más alla (más alla del costo Limitado al pago del costo de la de la de la licencia para implementación implementación su utilización del analisis y del del analisis y del mantenimiento) mantenimiento)

Analisis de Riesgos

Recommend Documents