METODOLOGÍAS PARA ANÁLISIS DE RIEGO. El análisis de riesgo es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Metodologías. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) (Amenaza (Amenaza de vista operativo crítico,activo, crítico,activo, y la vulnerabilidad vulnerabilidad de Evaluación) se encuentra disponible gratuitamente (en inglés) y es un conjunto de herramientas, técnicas y métodos para desarrollar análisis de riesgos basados en gestión y la planeación estratégica de la organización. Son todas las acciones que necesitan ser llevadas a cabo dentro de la organización para realizar la gestión de activos, conocer posibles amenazas y evaluar vulnerabilidades.
MAGERIT Magerit es la metodología de análisis y gestión de riesgos elaborada por por el Cons Consejo ejo Supe Superio riorr de Admin Administ istrac ración ión Elect Electrón rónic ica, a, como como resp respues uesta ta a la percepción de que la Administración, y, en general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión. La razón de ser de Magerit está directamente relacionada con la generalización del del uso uso de las tecno tecnolo logía gías s de la infor informac mació ión, n, que que supon supone e unos unos benefi beneficio cios s evidentes para los usuarios; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza. Inte Intere resa sa a todo todos s aque aquell llos os que que trab trabaj ajan an con con info inform rmac ació ión n digi digita tall y sist sistem emas as informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, Magerit les permitirá saber cuánto valor está en juego y les les ayud ayudar ará á a prot proteg eger erlo lo.. Cono Conoce cerr el ries riesgo go al que que está están n some someti tido dos s los los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con Con Mager Magerit it se persi persigu gue e una una aprox aproxima imació ción n metód metódic ica a que que no deje deje lugar lugar a la improvisación, ni dependa de la arbitrariedad del analista.
MAGERIT
OCTAVE
-se enfatiza enfatiza en dividir dividir los activos activos de la -es -es una una técn técnic ica a de plan planif ific icac ació ión n y organización en variados grupos, para consultoría consultoría estratégica estratégica en seguridad seguridad identif identificar icar más riesgos riesgos y poder poder tomar tomar basada en el riesgo. contra medidas para evitar así cualquier
inconveniente. -Ofrece un método sistemático para -maneja tres métodos: auto-dirigido, analizar tales riesgos. flexibles y evolucionado. -ayuda a descubrir y planificar las -Desmitifica la falsa creencia: La medidas oportunas para mantener los Seguridad Informática es un asunto riesgos bajo control. meramente técnico. -Prepara a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.
-Presenta los principios básicos y la estructura de las mejores prácticasinternacionales que guían los asuntos no técnicos
-concientiza a los responsables de los -divide los activos en dos tipos: sistemas de información de la Sistemas, (Hardware. Software y Datos) existencia de riesgos y de la necesidad y personas. de atajarlos a tiempo. -genera el uso de las tecnologías de la -se especializa en el riesgo información. organizacional y el foco son los temas relativos a la estrategia y la practica. -Ausencia o debilidad de las -cosolidacion de la información salvaguardas que aparecen como creación de perfiles de amenazas. oportunas para reducir los riesgos sobre el sistema. -Relación de las amenazas a que están expuestos los activos.
y
-identifica los elementos críticos y las amenazas para los activos.
-Conjunto de programas de seguridad -identifican las vulnerabilidades tanto que permiten materializar las decisiones organizativas como tecnológicas que de gestión de riesgos. exponen a las amenazas creando un riesgo a la organización. -Caracterización del valor que representan los activos para la Organización así como de las dependencias entre los diferentes activos.
-Desarrollar una estrategia de protección basada en la práctica así como planes de migración de riesgos para mantener la misión y prioridades de la organización.
