ACTIVIDAD EJE 3

ANALISIS DE RIESGOS INFORMATICOS

INTEGRANTE:
NEIDER CASTILLO

PRESENTADO A TUTOR:
JUAN JOSE CRUZ GARZON

FUNDACIÓN UNIVERSITARIA AREA ÁNDINA

INGENIERÍA DE SISTEMAS-VIRTUAL
BOGOTÁ, COLOMBIA
2020
INTRODUCCION
 OBJETIVO
1. Haga una lectura del referente de pensamiento en clave de la comparación
entre los distintos métodos de análisis y evaluación de riesgos informáticos.

2. Consulte recursos en la web en relación con los modelos de gestión de

riesgo: Normas ISO 27001, y los métodos de gestión de riesgos informáticos

3. Proponga una matriz o tabla de comparación. En las columnas registre las

categorías de comparación que va a registrar, por ejemplo: Activos. (En esta
columna se registra cómo clasifica los activos cada modelo) así puede tener
categorías como contexto, controles y análisis.

4. Registre en las categorías de análisis las condiciones específicas respecto a

cómo lo asume el modelo. Por ejemplo: el modelo MEHARI, categoría:
Activos, los considera.

5. Registre con base en los resultados de la comparación las ventajas y

desventajas de cada uno de los métodos que se analizan (al menos cinco).

6. En un texto no inferior a dos párrafos (10 renglones Arial 12) seleccione un

método que usted recomendaría implementar en su organización y
argumente por qué. Debe citar al menos un autor que sustente su
recomendación.

7. Los registros que corresponden a los puntos 4, 5 y 6 deben ser incluidos en

un documento de Word que se debe subir a la sección de tareas del curso.
 Categorías
Método o Modelo
Activos Contexto Controles Análisis
Se puede definir como una Metodología Este modelo tiene la capacidad de incluir un Este análisis debe incluir las amenazas a las
Este los considera de una para el análisis y gestión de riesgos listado de más de 3.500 medidas de seguridad que se encuentran expuestos los activos y
manera en la cual se encaminada a brindar confidencialidad, o contención que se pueden aplicar en la señalar las vulnerabilidades a través de las
Cramm
revisa su calidad y se integridad y disponibilidad de los implementación del modelo para mitigar el cuales estas se pueden materializar y calcular
cuantifica su valor. sistemas de información mediante el uso impacto de una amenaza y obtener lo que se el riesgo que puede implicar que una de ellas lo
de una evaluación mixta. conoce como riesgo residual. haga.
Este sugiere un Esta herramienta permite evaluar y abordar los
procedimiento Es una metodología francesa de análisis riesgos relacionados con la seguridad Esta metodología se basa en el análisis y
metodológico que le y gestión de riesgos de informática promoviendo una eficaz estudio de contexto, estudio de las medidas de
permita a las seguridad de sistemas de información comunicación dentro de la organización y entre seguridad, estudio
Ebios
organizaciones tener una que comprende un conjunto de guías y sus socios, dando cumpliendo a los últimos de eventos peligrosos, estudio de los
visión global y coherente herramientas de código libre, enfocada a estándares de la ISO 27001, 27005 y 31000 escenarios de amenazas, y estudio de los
de la seguridad de la gestores del riesgo de TI. [50] riesgos.
información. para la gestión de riesgos.
Este modelo es más
completo al resto, ya que Es un procedimiento de sistemas de Propone un análisis riguroso de los principales
brinda soporte y apoyo a auditoría y evaluación de riesgos; la Mehari propone un módulo para analizar los factores de riesgo, evaluando
las organizaciones a gestión se diseñó y programó para un intereses implicados por la seguridad y un cuantitativamente, de acuerdo con la situación
gestionar de forma análisis profundo y verídico de los riesgos método de análisis de riesgos con herramientas de la organización, dónde se requiere el
Mehari adecuada sus en sistemas informáticos. Cuenta con de apoyo, el principal objetivo de Mehari es análisis; acopla los objetivos estratégicos
plataformas de tres módulos: análisis o evaluación de proporcionar un método para la evaluación y existentes con los nuevos métodos de
información a través de riesgos, evaluación de seguridad gestión de riesgos, concretamente en el funcionamiento de la empresa mediante una
buenas prácticas y (centrada en el análisis de dominio de la seguridad de la información. política de seguridad y mantenimiento de los
conocimientos técnicos vulnerabilidades) y análisis de amenazas. riesgos a un nivel convenido.
avanzados.
Detalla la metodología desde tres Ayuda a descubrir y planificar las medidas
perspectivas: describe los pasos para oportunas para mantener los riesgos bajo
Se interesan por su valor realizar un análisis del estado del riesgo y control y apoyar en la preparación de la
El proceso de análisis de riesgos lo desarrolla
no dejando a un lado la gestionar su mitigación; describe las organización para procesos de evaluación,
en las siguientes etapas: planificación, análisis
Magerit importancia del impacto tareas básicas para realizar un proyecto auditoría, certificación o acreditación; así
de riesgos, gestión de riesgos y selección de
residual y minimizando el de análisis y gestión de riesgos y uno de mismo, una de sus mayores ventajas es que
salvaguardas.
riesgo residual. sus capítulos aplica la metodología al las decisiones que deban tomarse y que tengan
caso del desarrollo de Sistemas de que ser validadas por la dirección estarán
Información (SI). fundamentadas y serán fácilmente defendibles.
Método o Categorías
Modelo
Activos Contexto Controles Análisis
Es una técnica de organización, proyección,
La metodología Octave orienta a la Su objetivo de análisis se encuentra
Este ofrece varias clasificación y consultoría importante en seguridad
organización para que dirija y enfocado básicamente en concientizar
metodologías que de la información establecida en el riesgo; esta
gestione sus evaluaciones de a la organización en cuanto a que la
pueden garantizar a técnica logra su misión en tres procesos: auto
riesgo, tome decisiones basadas en seguridad informática no es un asunto
Octave las organizaciones la dirigido, flexible y evolucionado, que, a su vez, se
sus riesgos, proteja los activos solamente técnico, y presentar los
administración y desarrolla en tres fases: perfiles de amenazas
críticos de información y comunique estándares internacionales que guían
seguridad de sus basados en activos, identificación de
de forma efectiva la información la implementación de seguridad de
activos. vulnerabilidades de la infraestructura y desarrollo
clave de seguridad. aquellos aspectos no técnicos.
de estrategia y planes de seguridad.
Este propone a las
Su aplicación permite la detección de fallas de
organizaciones que Maneja una metodología de análisis
seguridad, inconsistencias, redundancia y el
empleen formatos Se trata de una técnica que es muy de riesgos basados en la elaboración
descubrimiento de vulnerabilidades de seguridad,
estandarizados de útil para equipos heterogéneos que de modelos y un editor gráfico en el
Coras exploradas en siete etapas: presentación, análisis
informes sobre sus intenten identificar vulnerabilidades cual
de alto nivel, aprobación, identificación de riesgos,
activos bajo un y amenazas a sus activos de valor. se diseñan los modelos de lenguaje
estimación de riesgo, evaluación de riesgo y
lenguaje de basados en Microsoft Visio.
tratamiento del riesgo.
programación UML.
Registre con base en los resultados de la comparación las ventajas y desventajas de cada uno de los métodos que
se analizan (al menos cinco).
METODOLOGÍA VENTAJAS DESVENTAJAS

Propone una metodología de análisis de riesgos basado en la

No toma en cuenta el principio de no repudio de la información. No realiza
elaboración de modelos. Provee un repositorio de paquetes de
análisis de riesgos cuantitativos. Su modelo no tiene contemplado elementos
Coras experiencias reutilizables. Basada en modelos de riesgos de sistemas
como procesos y dependencias. Posee falencias en el inventario de políticas.
de seguridad críticos. Útil en el desarrollo y mantenimiento de nuevos
Se requiere de amplios conocimientos previos.
sistemas. Provee un reporte de vulnerabilidades encontradas.

Involucra a todo el personal de la organización. Se requiere de amplios conocimientos previos.

Desarrolla planes y estrategias de seguridad. No define claramente los activos de información.

Octave Relaciona las amenazas y vulnerabilidades. Utiliza muchos documentos en el proceso de análisis de riesgos.
Construye los perfiles de amenazas basados en los activos. No toma en cuenta el principio de no repudio de la información.
Se debe comprar la licencia si se quiere implementar la metodología a un
Identifica la infraestructura de las vulnerabilidades.
tercero.
Es una herramienta de negociación y de arbitraje. Es utilizada para
múltiples finalidades y procedimientos de seguridad. Se acopla al
cumplimiento de los estándares ISO 27001, 27005 y 31000. Se constituye más como una herramienta de soporte. Se requiere de amplios
Ebios
Herramienta de código libre y reutilizable. Ayuda a las organizaciones a conocimientos previos. No define claramente los activos de información.
tener un mayor reconocimiento en sus actividades de seguridad ya que
tiene compatibilidad con las normas ISO.

Tiene un alcance completo en el análisis y gestión de riesgos. No en cuenta el análisis de vulnerabilidades.

Es libre y no requiere autorización para su uso. Posee falencias en el inventario de políticas.

Utiliza un completo análisis de riesgo cuantitativo y cualitativo. Se considera una metodología costosa en su aplicación.
Magerit
Preparar a la organización para procesos de evaluación, auditoría, En su modelo no involucra los procesos, recursos, ni vulnerabilidades como
certificación o acreditación. elementos del modelo a seguir.

Está bien documentada en cuanto a recursos de información, amenazas No toma en cuenta el principio de no repudio de la información como objetivo
o tipo de activos. de seguridad.
METODOLOGÍA VENTAJAS DESVENTAJAS

Usa un modelo de análisis de riesgos cualitativo y

cuantitativo. Evalúa y logra la disminución de riesgos en
función del tipo de organización. Posee bases de datos
de conocimientos con manuales, guías y herramientas La recomendación de los controles no la incluye dentro del análisis de riesgos
que permiten realizar el análisis de riesgos cuando sea sino en la gestión de los riesgos.
necesario. Complementa y acopla a las necesidades de
Mehari la norma ISO 27001, 27002 Y 27005 para definir los
SGSI y la gestión de riesgos.

La estimación del impacto se realiza en el proceso de gestión y evaluación de

Detección de vulnerabilidades mediante auditorias y
análisis las situaciones de riesgo.
Identifica y clasifica los activos de TI.
Realiza un análisis de riesgo cuantitativo y cualitativo.
Combina análisis y evaluación de riesgos.
Cramm Identifica y evalúa amenazas y vulnerabilidades, evalúa
niveles de riesgo e identifica los controles requeridos.
riesgos. Sólo toma en cuenta los principios de confidencialidad, integridad y
disponibilidad de la información como objetivos de seguridad, dejando a un lado
el no repudio. Se requiere de amplios conocimientos previos.
Su modelo no tiene contemplado elementos como procesos y recursos.
No toma en cuenta el principio de no repudio de la información como objetivo de
seguridad.
La estimación del impacto se realiza en el proceso de gestión y evaluación de
riesgos.
Hay que pagar el costo de la licencia de autorización.

Aplica los conceptos de manera formal, estructurada y

disciplinada protegiendo los principios de seguridad y sus Posee falencias en el inventario de políticas.
activos.
En un texto no inferior a dos párrafos (10 renglones Arial 12) seleccione un
método que usted recomendaría implementar en su organización y argumente
por qué. Debe citar al menos un autor que sustente su recomendación.

El método que recomendaría implementar en la organización seria el método

Octave, este representa un equilibrio entre los riesgos operativos y las prácticas
de seguridad, a partir de estos ítems las organizaciones han tomado decisiones
de para la protección de información , esta metodología tiene como objetico dos
puntos, uno, es concientizar a los funcionarios de la organización sobe la realidad
de la seguridad informática y la responsabilidad compartida que se tiene, ya que los
usuarios tiene por cultura que la seguridad de la información solo le compete a la
parte de técnica. La metodología sugerida tiene beneficios para las organizaciones
como lo es dirigir y gestionar de manera adecuada y organizada las evaluaciones
de riesgos, en donde se informa como proteger la información; la comunicación
efectiva dentro de la empresa es un factor importante y que se puede iniciar en las
organizaciones , en cualquier empresa donde hay información importante hay
riesgo s por lo cual es de suma importancia de implementar.
 CONCLUSIÓN
El activo más importante de una empresa es la información la cual no lleva a
implementar métodos para mantenerla segura y prevenir riesgos, la mejor manera
es iniciar y validar las brechas a estos espacios que nos puede dañar como
organización.
Debemos mantener la seguridad de nuestra información como pilar dentro y fuera
de las empresas, implementando y capacitando nuestro personal quienes son
nuestros activos humanos y manipulan nuestros activos informáticos. Se logra
identificar y valorar los procesos más críticos del negocio, con el propósito de
evaluar el nivel de protección adecuado, determinar y evaluar las amenazas y su
grado de efectividad para hacer frente a los riesgos y calcular el nivel de los mismos,
de tal forma, que la organización conozca con detalle la probabilidad de
materialización de cada una de las amenazas y el impacto que estas pueden
ocasionar.
 BIBLIOGRAFIA
https://www.normas-iso.com/iso-27001/

https://www.jdc.edu.co/revistas/index.php/rciyt/article/view/121

https://www.mintic.gov.co/gestionti/615/articles-5482_G7_Gestion_Riesgos.pdf

http://polux.unipiloto.edu.co:8080/00004422.pdf

Gómez, R; Pérez, D; Donoso, Y; Herrera, Andrea. Metodología y gobierno

de la gestión de riesgos de tecnologías de la información. Revista de
Ingeniería, núm. 31, enero-junio, 2010, pp. 109-118. Universidad de Los
Andes. Bogotá, Colombia.