Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Informacin
Confidencialidad
Seguridad
de la
Informacin
Integridad Disponibilidad
Asegurar la Integridad de
Asegurar la Disponibilidad(Availability)
la informacion
continua de los sistemas de informacin.
almacenada en los
sistemas de informacin.
Gene Spafford
Certificaciones en Seguridad TI
Vulnera-
Amenaza Riesgo
bilidad Activos
Impacto
16
RIESGO POTENCIAL DE QUE UNA AMENAZA
EXPLOTE LAS VULNERABILIDADES DE
UN ACTIVO
IMPACTO
VULNERABILIDAD
Medir las
AMENAZA (PELIGRO) consecuencias
Posibilidad de
Evento que puede al materializar
ocurrencia de
una amenaza
desencadenar un materializacin de una
incidente en la amenaza sobre un
organizacin, activo.
produciendo Grado de destruccin
perdidas (magnitud), hueco,
craker, virus debilidad, brecha
Panorama General
18
Metodologas
MAGERIT CRAMM OCTAVE
Se utiliza mucho en Espaa, sobre Tuvo su origen en el Reino Unido, Desarrollado por el SEI (Software
todo en instituciones pblicas, ya ya que fue desarrollado por el Engineering Institute) en los Estados
que fue desarrollado por el CCTA (Central Computer and Unidos. Tiene un gran
congreso superior de Telecomunications Agency), tiene reconocimiento internacional.
administracin electrnica. A nivel reconocimiento a nivel buena aceptacin a nivel
internacional no es muy internacional y su desarrollo es de mundial, aunque las fases que la
conocida, aunque su utilizacin los ms simples, identificacin y componen son un poco diferentes
puede ser interesante en valoracin de activos, valoracin de las metodologas habituales, lo
cualquier tipo de empresa. de amenazas, vulnerabilidades y cual suele implicar mayor
seleccin de contramedidas. dificultad en su utilizacin.
NIST 800-30 ISO 27005 ISO 31000
Fue desarrollado por el NIST 27005 Norma internacional, no Al igual que la anterior es una ISO
(National Institute of Standards especifica ningn mtodo de anlisis internacional que contiene una
and Technology) en los EEUU y de riesgo concreto, sino que contiene serie de buenas prcticas para
recomendaciones y directrices
aunque tiene reconocimiento gestionar riesgos, aunque la
generales para la gestin de riesgos,
internacional, su uso se limita por tanto, puede utilizarse como gua diferencia con respecto a la ISO
sobre todo a EEUU para elaborar una metodologa de 27005 es que esta no aplica
(administraciones pblicas), se gestin de riesgos propia. solamente a la Seguridad de la
compone de un mayor nmero Contiene la Gua de Gestin del riesgo Informacin sino que aplica a
de fases que las anteriores de la seguridad de la informacin y la cualquier tipo de riesgo.
implantacin de SGSI . Incluye partes de la
metodologas, es muy intuitiva, ISO 13335
NIST 800-30
Instituto Nacional de
Normas y tecnologa EEUU
PASOS SEGN METODOLOGIA NIST 800-30 Instituto Nacional de Normas y tecnologa EEUU
III. METODO DE ANALISIS DE RIESGOS Activos, vulnerabilidades, amenazas, salvaguardas. Estimar el riesgo
IV. PROCESO DE GESTION DE RIESGOS Evaluar niveles de impacto y riesgo residual, niveles aceptables de riesgo, C/B,
tratamiento del riesgo, documentacin del proceso
VI. PLAN DE SEGURIDAD Una vez finalizada el anlisis y gestin de riesgos, recomendaciones