Metodologías para seguridad informática
Un Sistema de Seguridad Informática es un conjunto de medios administrativos, medios técnicos y personal que de manera interrelacionada garantizan niveles de seguridad informática en correspondencia con la importancia de los bienes a proteger y los riesgos estimados 7.
l !lan de Seguridad Informática es la e"presi#n gráfica del Sistema de Seguridad Informática dise$ado y constituye el documento básico que establece los principios organizativos y funcionales de la actividad de Seguridad Informática en una ntidad y recoge claramente las pol%ticas de seguridad y las responsabilidades de cada uno de los participantes en el proceso informático, as% como las medidas y procedimientos que permitan prevenir, detectar y responder a las amenazas que gravitan sobre el mismo.
&urante el proceso de dise$o de un Sistema de Seguridad Informática se distinguen tres etapas'
(. &eterminar &eterminar las necesidades necesidades de de protecci#n protecci#n del del sistema sistema informático informático objeto objeto de análisis, que incluye'
•
)aracterizaci#n del sistema informático.
•
Identificaci#n de las amenazas y estimaci#n de los riesgos.
•
valuaci#n del estado actual de la seguridad.
*. &efinir e implementar implementar el el sistema de seguridad seguridad que garantice garantice minimizar los riesgos identificados en la primera etapa.
•
&efinir las pol%ticas de seguridad.
•
&efinir las medidas y procedimientos a implementar.
+. valuar el sistema de seguridad dise$ado. "isten diferentes métodos para el análisis de riesgos de la seguridad informática. lgunos de los métodos o metodolog%as son -' Metodología MAGERIT
a metodolog%a /01I2 divide los activos de la organizaci#n en varios grupos lo que nos permite identificar más riesgos de manera especifica y asi poder tomar medidas para evitar as% cualquier problema. n el periodo transcurrido desde la publicaci#n de la primera versi#n de /agerit 3(4475 6asta la fec6a, el análisis de riesgos se 6a venido consolidando como paso necesario para la gesti#n de la seguridad. a evaluaci#n de los riesgos es fundamental para poder llevar a cabo planes de seguridad y de contingencia dentro de la organizaci#n y asi poder 6acer frente a posibles ataques a los datos y la informaci#n tanto de la organizaci#n, como de los servicios que presta. sta metodolog%a está basado en tres submodelos que son'. •
•
•
&e elementos' ste submodelo se clasifican elementos básicos que son' activos, amenazas, vulnerabilidades, impacto, riesgo, salvaguarda. &e eventos' qu% se clasifican los elementos anteriores en tres formas' dinámico f%sico, dinámico organizativo y estático. &e procesos' Se definen en 8 etapas' análisis de riesgo, planificaci#n, gesti#n de riesgo y selecci#n de salvaguardas.
Metodología CORAS (Construct a platform for Risk Analsis of Securit critical sstem!
sta metodolog%a fue desarrollado a partir de *99( por SI:2;, un grupo de investigaci#n noruego financiado por organizaciones del sector p*999>*?9+(5 financiado por la Uni#n uropea. l método nos proporciona' •
Una metodolog%a de análisis de riesgos basado en la elaboraci#n de modelos, que consta de siete pasos, basados fundamentalmente en entrevistas con los e"pertos.
•
•
•
•
•
Un lenguaje gráfico basado en U/ 3Unified /odelling anguage5 para la definici#n de los modelos 3activos, amenazas, riesgos y salvaguardas5, y gu%as para su utilizaci#n a lo largo del proceso. l lenguaje se 6a definido como un perfil U/. Un editor gráfico para soportar la elaboraci#n de los modelos, basado en /icrosoft @isio. Una biblioteca de casos reutilizables. Una 6erramienta de gesti#n de casos, que permite su gesti#n y reutilizaci#n. 1epresentaci#n te"tual basada en A/ 3eAtensible /arB>up anguage5 del lenguaje gráfico.
Metodología "IST S# $%%&'% ("ational Institute of Standards and Tecnolog!
l :IS2 3:ational Institute of Standards and 2ec6nology5 6a dedicado una serie de publicaciones especiales, la S! -99 a la seguridad de la informaci#n. sta serie incluye una metodolog%a para el análisis y gesti#n de riesgos de seguridad de la informaci#n, alineada y complementaria con el resto de documentos de la serie. l proceso de gesti#n de riesgos definido en la metodolog%a :IS2 S! -99>+9 puede resumirse en el siguiente gráfico'
Metodología OCTA)E
s una metodolog%a de evaluaci#n y de gesti#n de los riesgos para garantizar la seguridad del sistema informativo, desarrollado por el estándar internacional IS=*7999(. l n
2iene dos objetivos espec%ficos que son' •
•
&esmitificar la falsa creencia' a Seguridad Informática es un asunto meramente técnico. !resentar los principios básicos y la estructura de las mejores prácticas internacionales que gu%an los asuntos no técnicos.
&ivide los activos en dos tipos que son' •
Sistemas, 3CardDare. SoftDare y &atos5
(. !ersonas a metodolog%a =)2@ está compuesta en tres fases' (. @isi#n de organizaci#n' &onde se definen los siguientes elementos' activos, vulnerabilidades de organizaci#n, amenazas, e"igencias de seguridad y normas e"istentes. *. @isi#n tecnol#gica' se clasifican en dos componentes o elementos' componentes claves y vulnerabilidades técnicas. +. !lanificaci#n de las medidas y reducci#n de los riesgos' se clasifican en los siguientes elementos' evaluaci#n de los riesgos, estrategia de protecci#n, ponderaci#n de los riesgos y plano de reducci#n de los riesgos. as fases del proceso pueden resumirse en el siguiente gráfico'
