Métodos De Análisis, Evaluación Y Gestión De Riesgos Informáticos

Rivera Medina Walter Andrés

Marzo 2020.

Fundación Universitaria del Área Andina

Bogotá.
Análisis de riesgos informáticos
 Actividad

1. Haga una lectura del referente de pensamiento en clave de la comparación entre los
distintos métodos de análisis y evaluación de riesgos informáticos.
2. Consulte recursos en la web en relación con los modelos de gestión de riesgo: Normas
ISO 27001, y los métodos de gestión de riesgos informáticos.
3. Proponga una matriz o tabla de comparación. En las columnas registre las categorías de
comparación que va a registrar, por ejemplo: Activos. (En esta columna se registra cómo
clasifica los activos
cada modelo) así puede tener categorías como contexto, controles y análisis.
4. Registre en las categorías de análisis las condiciones específicas respecto a cómo lo
asume el modelo. Por ejemplo: el modelo MEHARI, categoría: Activos, los considera…
5. Registre con base en los resultados de la comparación las ventajas y desventajas de cada
uno de los
métodos que se analizan (al menos cinco).
6. En un texto no inferior a dos párrafos (10 renglones Arial 12) seleccione un método que
usted recomendaría implementar en su organización y argumente por qué. Debe citar al
menos un autor que
sustente su recomendación.
7. Los registros que corresponden a los puntos 4, 5 y 6 deben ser incluidos en un documento
de Word que se debe subir a la sección de tareas del curso.
 Introducción

Los métodos de análisis , evaluación y gestión del riesgo aporta herramientas para suplir
la necesidad de implementar en las organizaciones por tal motivo es importante conocerlas
y analizar, y así determinar cuál nos proporciona mejor aplicabilidad.
 Métodos De Análisis, Evaluación Y Gestión De Riesgos Informáticos

METODO ACTIVOS GESTION CONTROLES ANALISIS

Identifica y clasifica los Desde el análisis real de Grabación de los costos Análisis real de los
activos TI. Así también los riesgos hasta la estimados de la riesgos hasta la
CRAMM protege la seguridad de propuesta de aplicación de los propuesta de
la información como un contramedidas , controles. contramedidas ,
activo. incluida la generación incluida la generación
de resultados para la Cambios de modelación de resultados para la
documentación de para la evaluación del documentación de
seguridad (planificación riesgo, usando "Qué seguridad (planificación
de emergencia y pasaría si". de emergencia y
aseguramiento de la aseguramiento de la
continuidad) continuidad).
Identifica los activos Modelo de frecuencia Controles apropiados Escalas de valores
relevantes su de una amenaza como para reducir o eliminar cualitativos,
una tasa anual de cuantitativos y de
MAGERIT interrelación y ocurrencia y Escala
el riesgo durante el indisponibilidad del
valoración según la alternativa de proceso de mitigación servicio
implementación. estimación del riesgo de riesgos, gestión de
riesgos, que implica
priorizar, evaluar e
implementar los
controles de reducción
de riesgos.
 Tipología y lista de Las acciones correctivas Niveles de categorías basa en una base de
activos que se son diferentes en de controles. datos de conocimientos
MEHARI encuentran dentro de función de si la y en procedimientos
la organización organización no ha automatizados para la
llevado nada en el evaluación de los
dominio o por el factores que
contrario ha invertido caracterizan cada uno
tiempo y esfuerzo en el de los riesgos, y que
mismo. permite evaluar el
nivel. Además, el
método proporciona
asistencia para la
selección de los planes
de tratamiento
adecuado.
Activos de información Identificación de la Desarrollo de Planes y Análisis del límite
que son importantes Infraestructura de Estrategias de entre niveles de
Vulnerabilidades y Seguridad probabilidad
OCTAVE para la misión de la Medidas de
organización activos y desarrollando
probabilidad
son identificados considerando un rango
evaluaciones a partir de
basados en el perfil y la de frecuencias resultados obtenidos
amenaza al cual puede de otras organizaciones
ser dócil.
 COBIT de forma Permite que la Proporcionar marco Objetivos específicos,
efectiva para hacer información y la global que ayuda a las Acciones concretas y
mejores inversiones y tecnología relacionada empresas alcanzar sus personalizadas dentro
tomar mejores sean gobernadas y metas y entregar valor del contexto de la
COBIT 5 decisiones relacionadas gestionadas de manera atraves de un gobierno empresa, Objetivos
con TI, así como para integral para toda la y gestión eficaz de TI. relacionados de TI,
generar más valor a empresa, abarcando de Objetivos facilitadores
partir de su información principio a fin el o activadores de las
y sus activos negocio y áreas metas.
tecnológicos funcionales, teniendo en
cuenta los intereses de
las partes interesadas
internas y externas
Ventajas y Desventajas

METODO VENTAJA DESVENTAJA

CRAMM Identifica y clasifica los No contempla los procesos

activos de TI. y recursos de la

organización.

Es metódica por lo que se No toma en cuenta un

MAGERIT hace de fácil comprensión, análisis de

los activos se tipifican. vulnerabilidades y las

recomendaciones de

controles no son incluidas

dentro del análisis de

riesgos.

Capacidad de evaluar y La recomendación de los

MEHARI simular niveles de riesgos. controles no los incluye

Modelo de riesgo dentro del análisis de

cuantitativo y cualitativo riesgos si no en la gestión

de riesgo.
 Involucra a todo el No tiene compatibilidad

OCTAVE personal de la con estándares por ser

organización. aplicable solo para PYMES.

Proporciona la Resulta un modelo

optimización de los costos ambicioso que necesita de

COBIT 5 de TI. estudio minucioso.

Al proporcionar un método de gestión MEHARI

Para la aplicación de gestión y análisis de seguridad de la información como método

principal orientación de MEHARI donde mecanismos y herramientas se han creado con el
objetivo de salvaguarda información. Además, posee gran cantidad de manuales
informativos que describen los diferentes módulos (amenazas, riesgos, vulnerabilidades)
para interactuara con ellos para una implementación didáctica, además dentro de su análisis
comprende modelo cuantitativo y cualitativo que ofrece una brecha extensa de evaluación
y lograr disminuir el riesgo a lo más mínimo.

Aplicaría también porque compatible con normas como ISO 27000 (versione 1,2.5) esto
comprende gran funcionalidad para la gestión del riesgo, e integración con sistemas de
gestión de la calidad dentro de una organización.
 Conclusiones

La identificación y clasificación de los riesgos e implementación de metodologías para la

gestión del riesgo informático, es quizá uno de los aspectos de mayor complejidad y que
requieren que el criterio profesional del ingeniero de sistemas, cuando la información pasa
a ser un activo importante y la gestión adecuada del uso de las tecnologías para cumplir
con objetivos de las organizaciones, se soporta en el conocimiento de su profesión y
capacidad para analizar el entorno. Al respecto se destaca que no siempre se cuenta con
este criterio; se requiere adquirir experiencia profesional para involucrar dentro de sus
actividades la gestión del riesgo como parte importante de su trabajo.

El comprender las metodologías de análisis, evaluación y gestión de riesgo aporta de

manera crucial un conocimiento para aplicar en las empresas donde actualmente estamos
involucrados en el área de tecnología.
 Lista de referencias

Eterovic, J. E., & Pagliari, G. A. (2011). Metodología de análisis de riesgos informáticos. Técnica
administrativa, 10(45), 2-1.

Novoa, H. A., & Barrera, C. R. (2015). Metodologías para el análisis de riesgos en los
sgsi. Publicaciones e Investigación, 9, 73-86.

Moncada, M., & Israel, O. Diseño de un sistema de gestión de la seguridad de la información

(SGSI) para la Cooperativa de Ahorro y Crédito ABC, basado en la norma ISO 27001: 2013.

http://polux.unipiloto.edu.co:8080/00004802.pdf

https://managementmania.com/en/cramm-ccta-risk-analysis-and-management-method