Está en la página 1de 7

ANÁLISIS DE RIESGOS INFORMATICOS

ACTIVIDAD EVALUATIVA EJE 3

DANIEL CAMILO GONZALEZ BALLEN

JUAN JOSE CRUZ GARZON

FUNDACION UNIVERSITARIA DEL AREA ANDINA


SEPTIEMBRE DEL 2019
BOGOTA D.C
MATRIZ COMPARATIVA DE METODOS PARA EL ANALISIS DE RIESGOS
METODO MAGERIT CORAS EBIOS OCTAVE NIST800-30
Es una metodología Este modelo permite Utiliza un conjunto Desarrolla métodos o Aseguramiento de los
muy práctica que se identificar fallas de de guías y guías específicas de sistemas de Información
ANALISIS basada en la norma seguridad por medio de herramientas evaluación y que almacenan,
ISO 31000, si aplicación cuya basadas en código administración de procesan y transmiten
denominada para el misión es generar un libre, enfocadas a riesgos evaluando los información. Gestión de
proceso de gestión marco de trabajo a gestores de riesgos riesgos de seguridad de Riesgos Optimizar la
de riesgos que sistemas de seguridad la cual tiene 5 faces la información y administración de
sobresalta por su críticos. Identificando de implementación proponiendo un plan de Riesgos a partir del
seguridad que da a vulnerabilidades y que se desarrollan a mitigación de los resultado en el análisis
las redes y sistemas amenazas de los través de un mismos dentro de una de riesgos. Proteger las
para resistir, con un activos software que apoya organización utilizando habilidades de la
determinado nivel de el diseño e una técnica de organización para
confianza, los implementación del organización, alcanzar su misión no
accidentes o sistema proyección, clasificación solamente relacionada a
acciones ilícitas o promoviendo una y consultoría importante la IT, sino de toda la
mal intencionadas eficaz comunicación en seguridad de la empresa Ser una
que comprometen la dentro de la información establecida función esencial de la
disponibilidad, organización y entre en el riesgo. administración no solo
autenticidad, sus socios, dando Octava es un método limitada a funciones
integridad y cumpliendo a los operativo, orientado a técnicas de IT está
confidencialidad de últimos estándares resultados. Después de compuesta por 9 pasos
los datos de la ISO 27001, la primera iteración (2-3 básicos para el análisis
almacenados o 27005 y 31000 meses) se obtiene un de riesgo: sistema,
transmitidos y de los plan a corto plazo y un amenaza,
servicios que dichas plan estratégico a largo vulnerabilidades,
redes y sistemas plazo para mitigar los análisis, riesgo,
ofrecen o hacen riesgos detectados impacto, determinación
accesibles del riesgo y control.

VENTAJAS  está bien  cuenta con un  Mayor  Involucra a todo  bajo costo
documentada repositorio de compatibilida el personal de la  da guías de
 análisis y experiencias d con las compañía evaluación de
gestión de utilizables normas ISO  Lo desarrollan los riesgos
riegos  herramientas de  Múltiples mismo  recomendación
completos apoyo, editores procedimient trabajadores de del buen uso
la empresa
 utiliza un gráficos vasados os de  Tiene planes y  da valoración y
análisis en Visio en UML seguridad estrategias de mitigación de
completo de  Fácil desarrollo y  Es una seguridad riesgos
amenazas y manteniendo herramienta  Tiene claro las  asegura los
tipos de  Basado en de etapas de sistemas de
activos modelos de negociación análisis de información de
 es de libre seguridad críticos confiable gestión de riegos datos
uso  Cumple los  Involucra  mejora los
 prepara la estándares amenazas procesos
empresa para de las  Involucra administrativos
procesos de normas ISO vulnerabilidades  es el adecuado
auditoría y 27001,27005  Es adaptable a para el análisis y
control y 31000 una organización gestión de
 Concientiza a  Involucra  Maneja riesgos
la desde las infraestructura de informáticos
organización altas vulnerabilidades
la existencia gerencias,
de riesgos empleados
 permite que usuarios,
todos los  Describe
procesos tipos de
estén bajo entidades
control  Métodos de
 posee una ataque
herramienta  Involucra
para el vulnerabilida
análisis des
llamada  Tiene claro
PILAR requerimiento
s de
seguridad

DESVENTAJAS  No involucra  No cuenta con  Toda su  Tiene mucha  no contempla


recursos análisis implementaci documentación claramente los
 No involucra cuantitativo ón tiende  No tiene activos
vulnerabilidad  No contempla más a ser encuentra el  no contempla los
es procesos una principio de la procesos de cada
 Tiene fallas  No contempla herramienta información área
políticas dependencias de soporte
 Es muy  Requiere amplios
costosa conocimientos
técnicos
 No define los
activos
 Se debe comprar
licencia para
terceros
CATEGORIA Estricto Suficiente Suficiente Estricto Mínimo
ACTIVOS QUE Datos, software, Equipos de cómputo, Servicios, recurso Recurso humano, Datos e información,
INVOLUCRA redes y hardware, redes y humano, datos e servicios, Software, recurso humano
telecomunicaciones telecomunicaciones, información hardware
CONTEXTO se aplica en se puede aplicar para utilizada se aplica en empresas se utiliza principalmente
contextos de cualquier ambiento o principalmente en el del sector privado y en organización
grandes empresas proyecto sector del gobierno publicas gubernamentales
ya sea del gobierno para empresas
medianas y
pequeñas
RTA 6: el método que escogería para el análisis y gestión del riego informático para la implementación de un sistema de gestión de
la seguridad de la información seria el método OCTAVE ya que este método es uno de los más utilizado para el SGIS, basado
principalmente en la consultoría, analizando en el mercado en que se basa la empresa, su tamaño y necesidades principales, todo
basado en el riesgo informático, yendo mas allá de los términos técnicos tecnológicos involucrando a todos los usuarios y trabajadores
de la empresa, enfocado siempre en sus tres objetivos principales los cuales son: Riesgos Operativos, Prácticas de seguridad Y
Tecnología, haciendo que necesitemos un pequeño número de personas para su implementación, repartidas en todas la áreas de la
empresa. El método OCTAVE permite la comprensión del manejo de los recursos, identificación y evaluación de riesgos que afectan la
seguridad dentro de una organización.
Además este método trae tres métodos dentro del mismo que se aplicaran según sea el tamaño de la empresa OCTAVE (para
organizaciones 300 o más empleados), OCTAVE-S (Para organizaciones con 100 o menos empleados) y OCTAVE ALLEGRO (que
es un método parecido al OCTAVE pero aún más simplificado que se centra en los activos de la información.
El hecho de encontrar un método que se pueda adaptar a diferentes tamaños de empresas me parece algo muy aprovechable además
de ser unos de los métodos más utilizados da aun mayor garantían para el éxito de la implementación de un SGIS, Gomez, R (junio
de 2010) señala que “existen muchas metodologías para hacer una evaluación de riesgos informáticos. El principal problema al que
se está expuesto al hacer una evaluación de este tipo es que no se identifiquen oportunamente riesgos importantes a los que,
eventualmente, la organización sea vulnerable. Metodologías como OCTAVE minimizan este problema. Es importante que el análisis
se realiza desde la perspectiva del uso que se hace de los sistemas, debido a que la gran parte de los riesgos provienen de las
costumbres internas de la organización. Esta visión se complementa al crear los perfiles de amenazas en los que la metodología lleva
al grupo a contemplar otros riesgos no identificados en el primer análisis. Es evidente también que una evaluación de riesgos es muy
particular para cada organización y que no es sano desarrollar una evaluación de riesgos de una empresa a partir de los resultados
obtenidos por una organización diferente.” Recuperado el 03 de Marzo de 2014, de Revista de Ingeniería, Facultad de Ingeniería,
Universidad de los Andes. Edición 31.
No obstante los demás métodos son aplicables pero comparando su análisis, cometarios de otros autores, ventajas y desventajas, e
escogido este como el que aplicaría para hacer un análisis y gestión del riesgo.
BIBLIOGRAFÍA
 http://www.scielo.org.co/scielo.php?pid=S0121-49932010000100012&script=sci_arttext
 http://hemeroteca.unad.edu.co/index.php/publicaciones-e-investigacion/article/view/1435/1874
 Referente de pensamiento análisis de riesgo informático eje 3
 http://metodevaluriesgos.blogspot.com/2014/03/metodos-para-realizar-evaluacion-de.html