Object1

Aug
18
Metodologas para el anlisis de riesgos en
Seguridad Informtica
Seguridad Informtica
La seguridad informtica es una disciplina de la informtica que se encarga de
proteger los objetivos bsicos de la seguridad brindando a travs polticas,
mtodos, estndares, etc., que debera ser implementados adems de los
conocimientos para proteger nuestros entornos informticos y hacerlos ms
seguros.
Metodologas para el anlisis de riesgos en Seguridad Informtica
Existen diferentes mtodos para el anlisis de riesgos de la seguridad
informtica. lgunos de los mtodos o metodologas son!
v "etodologa "#E$%&.
v "etodologa '($)
v "etodologa *%)& )+ ,--./-.
v "etodologa ('&0E.
Metodologa MAGERIT
"agerit es una metodologa que se esfuer1a por enfati1arse en dividir los
activos de la organi1aci2n en variados grupos, para identi3car ms riesgos y
poder tomar contramedidas para evitar as cualquier inconveniente.
La ra12n de ser de "#E$%& est directamente relacionada con la
generali1aci2n del uso de las tecnologas de la informaci2n, que supone unos
bene3cios evidentes para los ciudadanos4 pero tambin da lugar a ciertos
riesgos que deben minimi1arse con medidas de seguridad que generen
con3an1a.
En el periodo transcurrido desde la publicaci2n de la primera versi2n de
"agerit 567789 hasta la fecha, el anlisis de riesgos se ha venido consolidando
como paso necesario para la gesti2n de la seguridad.
La Evaluaci2n del riesgo es fundamental para llevar cabo planes de seguridad
y de contingencia dentro de la organi1aci2n, para poder gestionarlos y hacerse
riguroso frente a posibles ataques a los datos y la informaci2n tanto de la
organi1aci2n, como de los servicios que presta.
Objetivos de Magerit
irectos
'oncienciar a los responsables de los sistemas de informaci2n de la
existencia de riesgos y de la necesidad de atajarlos a tiempo.
(frecer un mtodo sistemtico para anali1ar tales riesgos.
yudar a descubrir y plani3car las medidas oportunas para mantener
los riesgos bajo control.
Indirectos
+reparar a la (rgani1aci2n para procesos de evaluaci2n, auditora,
certi3caci2n o acreditaci2n, seg:n corresponda en cada caso.
La metodologa "#E$%& es una de las ms utili1adas ya que se encuentra en
espa;ol. "#E$%& est basado en tres submodelos.
Los submodelos son!
)ubmodelo de elementos! Es este submodelo se clasi3can < elementos
bsicos que son! activos, amena1as, vulnerabilidades, impacto, riesgo,
salvaguarda.
)ubmodelo de eventos! qu se clasi3can los elementos anteriores en
tres formas! dinmico fsico, dinmico organi1ativo y esttico.
)ubmodelo de procesos! )e de3nen en = etapas! anlisis de riesgo,
plani3caci2n, gesti2n de riesgo y selecci2n de salvaguardas.
La metodologa consta de tres vol:menes!
!olumen I "todo, es el volumen principal en el que se explica
detalladamente la metodologa.
!olumen II 'atlogo de elementos, complementa el volumen
principal proporcionando diversos inventarios de utilidad en la aplicaci2n
de la metodologa. Los inventarios que incluye son!
> &ipos de activos o
> ?imensiones y criterios de valoraci2n o
> mena1as
> )alvaguardas
!olumen III #ua de tcnicas, complementa el volumen principal
proporcionando una introducci2n de algunas de tcnicas a utili1ar en las
distintas fases del anlisis de riesgos. Las tcnicas que recoge son!
> nlisis mediante tablas
> nlisis algortmico
> @rboles de ataque
> &cnicas generales o
> nlisis coste.bene3cio
> ?iagramas de Aujo de datos 5?B?9
> ?iagramas de procesos
> &cnicas gr3cas
> +lani3caci2n de proyectos
> )esiones de trabajo! entrevistas, reuniones y presentaciones
> 0aloraci2n ?elphi
Metodologa "ORAS
#"onstruct a platform for Ris$ Anal%sis of Securit% critical s%stem&
?esarrollado a partir de C--6 por )%*&EB, un grupo de investigaci2n noruego
3nanciado por organi1aciones del sector p:blico y privado. )e desarroll2 en el
marco del +royecto '($) 5%)&.C---.CD-/69 3nanciado por la Eni2n Europea
F)&(L-6G F)&(L-CG F)&(L-CHG F)&(L-<G F)&(L-8G F)&(L-8HG FI(##-8G.
El mtodo '($) proporciona!
> Ena metodologa de anlisis de riesgos basado en la elaboraci2n de
modelos, que consta de siete pasos, basados fundamentalmente en
entrevistas con los expertos.
> En lenguaje gr3co basado en E"L 5Eni3ed "odelling Language9 para la
de3nici2n de los modelos 5activos, amena1as, riesgos y salvaguardas9, y
guas para su utili1aci2n a lo largo del proceso. El lenguaje se ha de3nido
como un per3l E"L.
> En editor gr3co para soportar la elaboraci2n de los modelos, basado en
"icrosoft 0isio.
> Ena biblioteca de casos reutili1ables.
> Ena herramienta de gesti2n de casos, que permite su gesti2n y
reutili1aci2n.
> $epresentaci2n textual basada en J"L 5eJtensible "arK.up Language9
del lenguaje gr3co.
> En formato estndar de informe para facilitar la comunicaci2n de
distintas partes en el proceso de anlisis de riesgos.
Los siete pasos del mtodo '($) pueden representarse gr3camente de la
siguiente forma!
Los siete pasos del mtodo '($) son!
L +resentaci2n! $euni2n inicial, para presentar los objetivos y el alcance del
anlisis y recabar informaci2n inicial.
L nlisis de alto nivel! Entrevistas para veri3car la comprensi2n de la
informaci2n obtenida y la documentaci2n anali1ada. )e identi3can
amena1as, vulnerabilidades, escenarios e incidentes.
L probaci2n! ?escripci2n detallada de los objetivos, alcance y
consideraciones, para su aprobaci2n por parte del destinatario del
anlisis de riesgos.
L %denti3caci2n de riesgos! %denti3caci2n detallada de amena1as,
vulnerabilidades, escenarios e incidentes.
L Estimaci2n de riesgo! Estimaci2n de probabilidades e impactos de los
incidentes identi3cados en el paso anterior.
L Evaluaci2n de riesgo! Emisi2n del informe de riesgos, para su ajuste 3no y
correcciones.
L &ratamiento del riesgo! %denti3caci2n de las salvaguardas necesarias, y
reali1aci2n de anlisis costeMbene3cio.
Metodologa 'IST S( )**+,*
#'ational Institute of Standards and Tec-nolog%&
El *%)& 5*ational %nstitute of )tandards and &echnology9 ha dedicado una serie
de publicaciones especiales, la )+ ,-- a la seguridad de la informaci2n. Esta
serie incluye una metodologa para el anlisis y gesti2n de riesgos de
seguridad de la informaci2n, alineada y complementaria con el resto de
documentos de la serie.
El proceso de anlisis de riesgos de3nido en la metodologa *%)& )+ ,--./-
puede resumirse en el siguiente gr3co F*%)&,--./-.-CG!
El proceso de gesti2n de riesgos de3nido en la metodologa *%)& )+ ,--./-
puede resumirse en el siguiente gr3co!
La "etodologa *%)& )+ ,--./- est compuesta por 7 pasos bsicos para el
anlisis de riesgo!
'aracteri1aci2n del sistema.
%denti3caci2n de amena1as.
%denti3caci2n de vulnerabilidades.
'ontrol de anlisis.
?eterminaci2n del riesgo.
nlisis de impacto.
?eterminaci2n del riesgo.
$ecomendaciones de control.
$esultado de la implementaci2n o documentaci2n.
Metodologa O"TA!E
"todo de evaluaci2n y de gesti2n de los riesgos para garanti1ar la seguridad
del sistema informativo, desarrollado por el estndar internacional %)(C8---6.
El n:cleo central de ('&0E es un conjunto de criterios 5principios, atributos y
resultados9 a partir de los cuales se pueden desarrollar diversas metodologas.
(ctave &iene dos objetivos espec3cos que son!
v ?esmiti3car la falsa creencia! La )eguridad %nformtica es un asunto
meramente tcnico.
v +resentar los principios bsicos y la estructura de las mejores prcticas
internacionales que guan los asuntos no tcnicos.
(ctave divide los activos en dos tipos que son!
v )istemas, 5IardNare. )oftNare y ?atos9
v +ersonas
La metodologa ('&0E est compuesta en tres fases!
O 0isi2n de organi1aci2n! ?onde se de3nen los siguientes elementos!
activos, vulnerabilidades de organi1aci2n, amena1as, exigencias de
seguridad y normas existentes.
O 0isi2n tecnol2gica! se clasi3can en dos componentes o elementos!
componentes claves y vulnerabilidades tcnicas.
O +lani3caci2n de las medidas y reducci2n de los riesgos! se clasi3can en
los siguientes elementos! evaluaci2n de los riesgos, estrategia de
protecci2n, ponderaci2n de los riesgos y plano de reducci2n de los
riesgos.
Las fases del proceso ('&0E pueden resumirse en el siguiente gr3co!
Publicado por liliana
Object2 Object3 Object4
0
Aadir un comentario
Object5
Seguridad Informtica
Ingeniera en Sistemas | FCI | UTM | Ing. Elis Crdenas
Classic
Flipcard
Magazine
Mosaic
Sidebar
Snapshot
Timeslide
Recientes
Fecha
ti!ueta
Autor
Seguridad de la in"ormacion
Punto #og
Punto #og
standares $ procedimiento
Seguridad %e #as Redes &nal'mbricas
A(AT)M*A % +( ATA,+ &(F)RM-T&C)
Control $ seguridad de un centro de c.mputo
&n$ecci.n S,#
)cultamiento de &P a tra/0s de un so"t1are
%esblo!uear documentos de o""ice
Metodologia )sstmm
Criptogra"ia
Crac2 de una red inalambrica con 3ac2 Trac2
&ngenieria &n/ersa
ncriptar una imagen
Recuperacion de archi/o
Programa de 4P para obtener la contrase5a
stados de los Puertos
,+6 S 78#)99R
Formas de Ata!ue
Categor:as $ st'ndares
Metodolog:as para el an'lisis de riesgos en Seguridad &n"orm'tica
Phishing
1
&ntroducci.n a la Seguridad &n"orm'tica



Cargando
Plantilla %$namic ;ie1s< Con la tecnolog:a de 3logger<