Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Determinación de activos
Determinación de amenazas
Estimación de impactos
El capítulo 3 concreta los pasos y formaliza las actividades de análisis de los riesgos.
El capítulo 4 describe opciones y criterios de tratamiento de los riesgos y formaliza las actividades de gestión de
riesgos.
El capítulo 5 se centra en los proyectos de análisis de riesgos, proyectos en los que nos veremos inmersos para
realizar el primer análisis de riesgos de un sistema y eventualmente cuando hay cambios sustanciales y hay que
rehacer el modelo ampliamente.
El capítulo 6 formaliza las actividades de los planes de seguridad, a veces denominados planes directores o
planes estratégicos.
El capítulo 7 se centra en el desarrollo de sistemas de información y cómo el análisis de riesgos sirve para
gestionar la seguridad del producto final desde su concepción inicial hasta su puesta en producción, así como a
la protección del propio proceso de desarrollo.
El capítulo 8 se anticipa a algunos problemas que aparecen recurrentemente cuando se realizan análisis de
riesgos.
OCTAVE
OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) es una metodología desarrollada
por Computer Emergency Response Team (CERT), que tiene como objetivo facilitar la evaluación de riesgos en
una organización.
OCTAVE estudia la infraestructura de información y, más importante aún, la manera como dicha
infraestructura se usa. Se considera que, con el fin de que una organización pueda cumplir su misión, los
empleados de todos los niveles necesitan entender qué activos relacionados con la información son
importantes y cómo deben protegerlos.
Para [ CITATION Eri13 \l 2058 ] el proceso de evaluación contemplado por OCTAVE se divide en tres fases:
Además de esto el principal problema al que se está expuesto al hacer una evaluación de este tipo es que no se
identifiquen oportunamente riesgos importantes, a los que eventualmente las organizaciones son vulnerables,
por ello metodologías como OCTAVE minimizan este problema. Es importante que en el análisis se resalte lo
valiosa que es la información, debido a que gran parte de los riesgos provienen de “costumbres” internas de las
organizaciones.
Por último, cabe mencionar que una evaluación de riesgos es muy particular para cada organización y que no
sería lo más adecuado desarrollar evaluaciones a partir de resultados obtenidos de otras organizaciones.
En [ CITATION Seg08 \l 2058 ] se define a que la norma ISO/IEC 27005:2008 proporciona directrices para la
gestión de riesgos de seguridad de la información. Esto apoya los conceptos generales especificados en ISO/IEC
27001 y ha sido diseñada para ayudar a la puesta en práctica satisfactoria del análisis y la gestión del riesgo,
fase principal del diseño de todo buen sistema de gestión de la seguridad de la información (SGSI). El
conocimiento de los conceptos, modelos, procesos y terminologías descritas en ISO/IEC 27001 e ISO/IEC 27002
es importante para lograr el entendimiento completo de la ISO/IEC 27005:2008.
ISO/IEC 27005:2008 es aplicable a todos los tipos de organizaciones (p.ej. sociedades mercantiles,
administraciones públicas, organizaciones no lucrativas) que tengan la intención de manejar los riesgos que
podrían comprometer la seguridad de la información de la organización.
En ISO/IEC 27005:2008 según [ CITATION Iso15 \l 2058 ] los cuatro pasos de la implantación de un sistema de
gestión de la seguridad de la información son:
El plan de comunicación se debe realizar a nivel interno (áreas de la organización, empleados, directivos,
socios) y externo (clientes, proveedores, entes reguladores), teniendo en cuenta las definiciones sobre la
existencia del riesgo, los objetivos de la gestión, el informe de los avances del proceso y todo aquello que se
considere necesario. Los medios por usar para comunicar el proceso de gestión dependen de las necesidades y
disponibilidad de la organización.
El objetivo de esta etapa es conocer a la organización para determinar qué puede afectarla a nivel interno y
externo, qué elementos se requieren proteger y, de acuerdo con los recursos actuales, cómo podría darse esa
protección hasta establecer un nivel de riesgo aceptable.
En la etapa de valoración de riesgos se identifican los activos que se quieren proteger y sus debilidades, así
como las amenazas a las cuales se encuentran expuestos. En este punto se recomiendan posibles controles de
mitigación de los riesgos.
En la etapa de tratamiento de riesgos se establece e implementan las acciones a llevar a cabo para mitigar los
riesgos encontrados y lograr riesgos residuales aceptables por la organización. Dentro de las acciones a tomar
encontramos principalmente: reducir, aceptar, eliminar y transferir.
NIST
El NIST (National Institute of Standards and Technology) ha dedicado una serie de publicaciones especiales, la
SP 800 a la seguridad de la información. Esta serie incluye una metodología para el análisis y gestión de riesgos
de seguridad de la información, alineada y complementaria con el resto de los documentos de la serie.
- Identificación de amenazas.
- Identificación de vulnerabilidades.
- Control de análisis.
- Análisis de impacto.
- Recomendaciones de control.
- Resultado de la implementación o documentación.
Conclusión
Según mi criterio, la mejor metodología de las expuestas en este trabajo es la NIST, debido a que tanto el
proceso de análisis como de gestión de riesgos esta mejor explicado lo que la hace más entendible y fácil de
utilizar. Además, reúne características similares a las que encontramos en las otras metodologías por lo que no
pierde nada al momento de explicar la aplicación del proceso de seguridad.
Además, para empresas que no tengan experticia en temas de seguridad de la información lo mejor es sin duda
la aplicación de este tipo de metodologías que ayuden a implementar por completo y desde cero un SGSI.
Bibliografía