Metodologias Analisis De Riesgos
MAGERIT
ISO/IEC
27005
Características Principales
Creado por el Consejo Superior de
Administración Electrónica de
España.
- Orientada a los sistemas de
información.
- Persigue los siguientes objetivos:
• Concientizar
a
los
responsables
de
los
sistemas de información de
la existencia de riesgos y de
la necesidad de atajarlos a
tiempo.
• Ofrecer
un
método
sistemático para analizartales riesgos
• Ayudar a descubrir y
planificar
las
medidas oportunas para
mantener los riesgos bajo
control
• Preparar a la Organización
para
procesos
de
evaluación,
auditoría,
certificación
o
acreditación,
según
corresponda
en cada caso
- Está estructurado en tres libros: “El
Método”, un "Catálogo de Elementos"
y una "Guía de Técnicas".
- Acceso público.
• Creado por la organización
para
laestandarización (ISO)
• Para análisis cuantitativos y
cualitativos.
• Presenta
ejemplos
de
vulnerabilidades.
• Describe
formas
de
Principales Conceptos
•
•
•
•
•
•
•
•
•
•
Fases
Escalas
de 1. Análisis de riesgos
valores
cualitativos,
cuantitativos
y
de 2. Caracterización de
los activos:
indisponibilidad
del
- Caracterización
servicio
de las amenazas
Modelo
de
Caracterización
frecuencia
de
una
delas
amenaza como una
salvaguardas
tasa
anual
- Estimación del
de ocurrencia
estado del riesgo
Escala
alternativa
de
estimación
3. Gestionar los riesgos
del riesgo.
Catálogos
de
amenazas
Catálogos de medidas
de control.
Conciencia
Responsabilidad
Evaluación
riesgo
Gestión
de
seguridad
Reevaluación
1. Establecimiento del
contexto.
del 2. Valoración del riesgo.
3. Tratamiento del riesgo.
la 4.Aceptación del riesgo.
5. Comunicación del riesgo.
6. Monitoreo y revisión.
Ámbito de
aplicación
Análisis y gestión de
riesgos
de
los
sistemas
de
información:
Gobierno,
Organismos,
compañías
grandes,
PYME,
compañías
comerciales
y
no
comerciales
Estándar para la gestión
de riesgos de seguridad de
la
información:
Aplicable a cualquier
organización
sin
importar
tipo,
tamaño o naturaleza
Ventajas
•Se le considera con
un
alcance
completo, tanto en el
análisis como en la
gestión
de
riesgos.
• Posee un extenso
archivo
de
inventarios en lo
referente
a
Recursos
de
Información,
Amenazas y tipo
de Activos
• Permite un análisis
completo cualitativo
y
cuantitativo
• De carácter Público
• No
requiere
autorización
previa para su uso
Es una metodología líder en
España,
con
buenos
referentes deaplicación.
•
•
•
Estándar internacional, lo
que le faculta mayor
aceptación
Posee una cláusula
completa orientada a la
monitorización y revisión
de riesgos
Se la considera con un
Desventajas
•
•
•
•
•
•
El
hecho
de
tener
que traducir de forma
directa
todas
las
valoraciones en valores
económicos hace que la
aplicación
de
esta
metodología
sea
realmente costosa.
No
involucra
a
los
procesos,recursos
ni
vulnerabilidades
como
elementos del modelo a
seguir
No
posee
un
inventario completo en lo
referente a Políticas
No detalla la forma de
valorar las amenazas.
No es certificable
No posee herramientas,
técnicas, ni comparativas
de
ayuda
para
su
implementación
•
•
•
•
•
OCTAVE
•
valoración
Detalla la forma de
identificar
activos
y hacer su valoración,
provee ejemplos.
Presenta
ejemplosde
amenazas típicas.
Restringido / de pago
Desmitificar
la
falsa
creencia: La Seguridad
Informática es un asunto
meramente técnico.
Presentar los principios
básicos y la estructura de
las
mejores
prácticas
internacionales que guían
los asuntos no técnicos.
Divide los activos en dos
tipos
que
son:
- Sistemas, (Hardware.
Software y Datos)
- Personas
•
•
•
•
•
Construcción
de los Perfiles deAmenazas Basados en
Activos
Identificación de la
Infraestructura
de
Vulnerabilidades
Desarrollo de Planes y
Estrategias
de
Seguridad
1. Visión
de
organización.
2. Visión Tecnológica.
3. Planificación de las
medidas y reducción
de riesgos.
MEHARI
•
Método para la evaluación y
gestión
de
riesgos
según
requerimientos
de
ISO/IEC 27005:2008.
Comprende bases de datos
de
conocimiento,
con
manuales
y...
Regístrate para leer el documento completo.