Está en la página 1de 5

LIBARDO MIRANDA CONTRERAS: Punto 3.

Cuadro explicativo con la importancia de


las metodologías de gestión de riesgos, ventajas y desventajas de cada una.

METODOLOGI CARACTERISTIC
VENTAJA DESVENTAJA
A A

Evalúa los riesgos de  Comprende  Solo se puede


seguridad de la procesos de aplicar en
información y análisis y pequeñas y
establece propuesta gestión de medianas
para su plan de riesgos empresas.
mitigación. Divide
los activos en  Involucra al  No presenta
sistemas y personas. personal de la compatibilidad
empresa en con estándares.
todos los
niveles.  Se basa en
demasiados
OCTAVE  Es muy documentos
completa al para hacer el
involucrar análisis de
procesos, riesgos
activos,
dependencias,
recursos,
amenazas y
salvaguardas
como
elementos de
análisis.

Es principalmente un  Usa un modelo  Solo se enfoca


procedimiento de cuantitativo y en los
sistema de auditoria cualitativo para principios de
y evaluación de el análisis de integridad,
MEHARI riesgos, realiza un riesgos. confidencialida
completo análisis de d y
los riesgos en  Evalúa y logra disponibilidad.
sistemas la disminución
informáticos. de riesgos de
acuerdo con el  La estimación
tipo de del impacto de
empresa. los riesgos se
Particulariza el realiza en el
trabajo. proceso de
gestión y
 Permite evaluación.
detectar
vulnerabilidade
s mediante
auditorias.
Implementa el  Comprende en  No involucra
proceso de gestión de su modelo el procesos,
riesgos dentro de un análisis y la recursos ni
marco de trabajo para gestión del vulnerabilidade
que los órganos de riesgo. s.
administración
tomen decisiones  Es metódica.  Es costosa para
teniendo en cuenta implementar.
los riesgos derivados  Realiza
del uso de identificación  No tiene en
MAGERIT tecnologías de la de activos. cuenta el
información.  No requiere análisis de
actualización vulnerabilidade
para su uso. s.
 Se encuentra  Tiene como
muy bien elementos de
documentada análisis solo
en cuanto a activos y
recursos de dependencias.
información,
tipos de activos
y sus amenazas.
Proporciona un  Se basa en  No cuenta con
modelo de trabajo modelos de análisis de
para sistemas en los seguridad riesgo
CORAS que la seguridad críticos. cuantitativo.
resulta ser crítica.  Es una  No contempla
Permite la detección herramienta elementos
de fallas de muy útil a la
seguridad, hora de como procesos
inconsistencias, desarrollar y y dependencias.
redundancia y mantener
descubrimiento de sistemas
vulnerabilidades de nuevos.
seguridad en  Entrega reporte
términos de de las
presentación, vulnerabilidade
aprobación, análisis s que se hayan
de alto nivel, encontrado en
identificación de el sistema.
riesgo, estimación de
riesgo, evaluación de
riesgo y tratamiento
del riesgo.

Es una herramienta o  Realiza la  No examina


metodología identificación y como
utilizada para el clasificación de elementos a
análisis y gestión de los activos de procesos y
riesgos, que brinda TI recursos dentro
confidencialidad, de su entorno
integridad y de evaluación.
disponibilidad de los  Combina el
sistemas de análisis con la
información evaluación de
CRAMM haciendo uso de una riesgos.
evaluación de tipo
mixta.  Evalúa el
impacto a nivel
empresarial.

 Evalúa
amenazas,
vulnerabilidade
s, nivel de
riesgo.
Evalúa y afronta los  Es una  Se muestra
EBIOS riesgos que se herramienta de como una
relacionan con la negociación. herramienta
seguridad diseñada para
informática, con el  Es de código soporte.
fin de buscar una libre.
eficaz comunicación
al interior de la  Es una
organización y entre herramienta
sus socios, que permite
propendiendo por crear cultura
cumplir estándares sobre todo el
de la ISO 27001, personal.
27005 y 31000, para
la gestión de riesgos  Es compatible
y brindando las con las normas
justificaciones ISO, por lo que
necesarias para la permite
toma de decisiones. reconocer las
actividades de
seguridad.
Propone un conjunto  Bajo costo de  No tiene
de recomendaciones implementació contemplados
y actividades para n. procesos,
una adecuada gestión dependencias o
de riesgos, como  Posee activos como
parte integral de la herramientas elementos de
gestión de seguridad para la análisis.
de la información. mitigación y
valoración de
los riesgos.
NISP SP 800 - 30
 Es aplicable
para el análisis
y gestión del
riesgo.

 Proporciona
mejora a la
administración
partiendo de los
resultados
obtenidos del
análisis de los
riesgos
identificados.

REFERENCIAS

[1] ANÁLISIS DE RIESGOS EN UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA


INFORMACIÓN (SGSI) CON METODOLOGÍAS COMPLEMENTARIAS. López,
Ramírez, Marxela. Universidad Piloto de Colombia :
http://polux.unipiloto.edu.co:8080/00004422.pdf

[2] Metodologías Para el Análisis de Riesgos en los SGSi Methodologies for Analysis
of Risks in the ISMS, Helena Alemán Novoa, Claudia Rodríguez
Barrera:http://hemeroteca.unad.edu.co/index.php/publicaciones-e
investigacion/article/view/1435/1874