ESCUELA POLITÉCNICA NACIONAL

FACULTAD DE INGENIERÍA DE SISTEMAS

INGENIERÍA DE SISTEMAS INFORMÁTICOS Y DE COMPUTACIÓN

Materia: Gestión de Seguridad Informática

Tema: Metodologías de Análisis y Gestión de Riesgos
Nombres: Ramos Wilson Fecha: 30/01/2019
MAGERIT
Para [ CITATION Cam13 \l 2058 ] MAGERIT es una metodología de análisis y gestión de riesgos elaborada por el
Consejo Superior de Administración Electrónica de España, que ofrece un método sistemático para analizar los
riesgos derivados del uso de tecnologías de la información y comunicaciones para de esta forma implementar
las medidas de control más adecuadas que permitan tener los riesgos mitigados. Además de esto, cuenta con
todo un documento que reúne técnicas y ejemplos de cómo realizar el análisis de riesgos.

Consta de dos fases, una de análisis de riesgos y otra de gestión de riesgos.

Fase de análisis de riesgos:

 Determinación de activos

 Determinación de amenazas

 Estimación de impactos

 Estimación de vulnerabilidad de las amenazas sobre los activos

 Cálculo del nivel de riesgo.

Fase de gestión de riesgos:

 Determinación de los criterios de aceptación del riesgo

 Determinación de las medidas de seguridad necesarias

 Estimación del nivel de riesgo residual

La estructura de MAGERI para [ CITATION PAE12 \l 2058 ] es:

El capítulo 2 presenta los conceptos informalmente. En particular se enmarcan las actividades de análisis y
tratamiento dentro de un proceso integral de gestión de riesgos.

El capítulo 3 concreta los pasos y formaliza las actividades de análisis de los riesgos.

El capítulo 4 describe opciones y criterios de tratamiento de los riesgos y formaliza las actividades de gestión de
riesgos.
El capítulo 5 se centra en los proyectos de análisis de riesgos, proyectos en los que nos veremos inmersos para
realizar el primer análisis de riesgos de un sistema y eventualmente cuando hay cambios sustanciales y hay que
rehacer el modelo ampliamente.

El capítulo 6 formaliza las actividades de los planes de seguridad, a veces denominados planes directores o
planes estratégicos.

El capítulo 7 se centra en el desarrollo de sistemas de información y cómo el análisis de riesgos sirve para
gestionar la seguridad del producto final desde su concepción inicial hasta su puesta en producción, así como a
la protección del propio proceso de desarrollo.

El capítulo 8 se anticipa a algunos problemas que aparecen recurrentemente cuando se realizan análisis de
riesgos.

OCTAVE
OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) es una metodología desarrollada
por Computer Emergency Response Team (CERT), que tiene como objetivo facilitar la evaluación de riesgos en
una organización.

OCTAVE estudia la infraestructura de información y, más importante aún, la manera como dicha
infraestructura se usa. Se considera que, con el fin de que una organización pueda cumplir su misión, los
empleados de todos los niveles necesitan entender qué activos relacionados con la información son
importantes y cómo deben protegerlos.

Para [ CITATION Eri13 \l 2058 ] el proceso de evaluación contemplado por OCTAVE se divide en tres fases:

1. Construcción de perfiles de amenazas basadas en activos.

2. Identificación de vulnerabilidades en la infraestructura.

3. Desarrollo de estrategias y planes de seguridad.

Además de esto el principal problema al que se está expuesto al hacer una evaluación de este tipo es que no se
identifiquen oportunamente riesgos importantes, a los que eventualmente las organizaciones son vulnerables,
por ello metodologías como OCTAVE minimizan este problema. Es importante que en el análisis se resalte lo
valiosa que es la información, debido a que gran parte de los riesgos provienen de “costumbres” internas de las
organizaciones.

Por último, cabe mencionar que una evaluación de riesgos es muy particular para cada organización y que no
sería lo más adecuado desarrollar evaluaciones a partir de resultados obtenidos de otras organizaciones.

ISO 27005:2008: Gestión de Riesgos

En [ CITATION Seg08 \l 2058 ] se define a que la norma ISO/IEC 27005:2008 proporciona directrices para la
gestión de riesgos de seguridad de la información. Esto apoya los conceptos generales especificados en ISO/IEC
27001 y ha sido diseñada para ayudar a la puesta en práctica satisfactoria del análisis y la gestión del riesgo,
fase principal del diseño de todo buen sistema de gestión de la seguridad de la información (SGSI). El
conocimiento de los conceptos, modelos, procesos y terminologías descritas en ISO/IEC 27001 e ISO/IEC 27002
es importante para lograr el entendimiento completo de la ISO/IEC 27005:2008.
ISO/IEC 27005:2008 es aplicable a todos los tipos de organizaciones (p.ej. sociedades mercantiles,
administraciones públicas, organizaciones no lucrativas) que tengan la intención de manejar los riesgos que
podrían comprometer la seguridad de la información de la organización.

En ISO/IEC 27005:2008 según [ CITATION Iso15 \l 2058 ] los cuatro pasos de la implantación de un sistema de
gestión de la seguridad de la información son:

1) Establecimiento de plan de comunicación interno y externo

El plan de comunicación se debe realizar a nivel interno (áreas de la organización, empleados, directivos,
socios) y externo (clientes, proveedores, entes reguladores), teniendo en cuenta las definiciones sobre la
existencia del riesgo, los objetivos de la gestión, el informe de los avances del proceso y todo aquello que se
considere necesario. Los medios por usar para comunicar el proceso de gestión dependen de las necesidades y
disponibilidad de la organización.

2) Definición del contexto organizacional

El objetivo de esta etapa es conocer a la organización para determinar qué puede afectarla a nivel interno y
externo, qué elementos se requieren proteger y, de acuerdo con los recursos actuales, cómo podría darse esa
protección hasta establecer un nivel de riesgo aceptable.

3) Valoración de los riesgos tecnológicos

En la etapa de valoración de riesgos se identifican los activos que se quieren proteger y sus debilidades, así
como las amenazas a las cuales se encuentran expuestos. En este punto se recomiendan posibles controles de
mitigación de los riesgos.

4) Tratamiento de riegos tecnológicos

En la etapa de tratamiento de riesgos se establece e implementan las acciones a llevar a cabo para mitigar los
riesgos encontrados y lograr riesgos residuales aceptables por la organización. Dentro de las acciones a tomar
encontramos principalmente: reducir, aceptar, eliminar y transferir.

NIST

El NIST (National Institute of Standards and Technology) ha dedicado una serie de publicaciones especiales, la
SP 800 a la seguridad de la información. Esta serie incluye una metodología para el análisis y gestión de riesgos
de seguridad de la información, alineada y complementaria con el resto de los documentos de la serie.

El análisis de riesgos en NIST se define por el siguiente gráfico.

Mientras la gestión de riesgos se realiza según lo siguiente.
Además, en [ CITATION Rie14 \l 2058 ] se definen los pasos básicos que según el NIST SP 800-30 se deben
seguir para el análisis de riesgos.

- Caracterización del sistema.

- Identificación de amenazas.

- Identificación de vulnerabilidades.

- Control de análisis.

- Determinación del riesgo.

- Análisis de impacto.

- Determinación del riesgo.

- Recomendaciones de control.
- Resultado de la implementación o documentación.

Conclusión

Según mi criterio, la mejor metodología de las expuestas en este trabajo es la NIST, debido a que tanto el
proceso de análisis como de gestión de riesgos esta mejor explicado lo que la hace más entendible y fácil de
utilizar. Además, reúne características similares a las que encontramos en las otras metodologías por lo que no
pierde nada al momento de explicar la aplicación del proceso de seguridad.

Además, para empresas que no tengan experticia en temas de seguridad de la información lo mejor es sin duda
la aplicación de este tipo de metodologías que ayuden a implementar por completo y desde cero un SGSI.

Bibliografía

[1] C. G. Amaya, «WeLiveSecurity,» 14 Mayo 2013. [En línea]. Available: https://www.welivesecurity.com/la-

es/2013/05/14/magerit-metodologia-practica-para-gestionar-riesgos/. [Último acceso: 2019].

[2] PAE, «PAE,» 2012. [En línea]. Available:

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.ht
ml#.XE76dlxKiUk. [Último acceso: 2019].

[3] E. J. E. Carmona, «Universo,» 23 Septiembre 2013. [En línea]. Available:

https://www.uv.mx/universo/535/infgral/infgral_08.html. [Último acceso: 2019].

[4] Seguinfo, «Seguinfo,» 2008. [En línea]. Available: https://seguinfo.wordpress.com/2008/06/18/iso-

270052008-gestion-de-riesgos/. [Último acceso: 2019].

[5] IsoTools, «IsoTools,» 05 Octubre 2015. [En línea]. Available: https://www.isotools.org/2015/10/05/como-

implantar-eficazmente-la-norma-iso-27005/. [Último acceso: 2019].

[6] RiesgosControlInformatico, «RiesgosControlInformatico,» 17 Marzo 2014. [En línea]. Available:

http://riesgoscontrolinformatico.blogspot.es/tags/metodologia-nist/. [Último acceso: 2019].