Actividad evaluativa – EJE3

¿QUE ES MEJOR?
TALLER EVALUATIVO SEMANA 3

Trabajo Individual | Análisis de Riesgos Informáticos | 2019-05-20

 Análisis de Riesgos Informáticos 2019

FUNDACIÓN UNIVERSITARIA DEL AREA ANDINA

¿Qué es Mejor?

ALUMNOS:
JOHN PAUL JASSIN MARTINEZ

PROFESOR:
SANDRA MILENA BERNATE BAUTISTA

MATERIA:
ANALISIS DE RIESGOS INFORMATICOS

CIUDAD
BOGOTÁ- COLOMBIA
AÑO
2019

1
 Análisis de Riesgos Informáticos 2019

INDICE

Contenido
INTRODUCCIÓN...............................................................................................................................3
OBJETIVO.........................................................................................................................................3
DESARROLLO DE LA ACTIVIDAD......................................................................................................4
1.METODOLOGIA Y MODELOS PARA LA GESTION DE RIEGOS.....................................................4
2.CARACTERUISTICAS DE ANALISIS MODELO MEHARI................................................................5
3. MATRIZ DE COMAPARACION..................................................................................................6
4. METODO QUE IMPLEMENTARIA.............................................................................................9
CONCLUSIÓN...................................................................................................................................9
BIBLIOGRAFÍA................................................................................................................................10

2
 Análisis de Riesgos Informáticos 2019

INTRODUCCIÓN
La implementación de un Sistema de Gestión de Seguridad Informática (SGSI) se encuentra
determinada por la estructura organizacional de las instituciones, lo que abarca características
como: tipo, tamaño, objetivos, servicios, procesos, personal y requerimientos de seguridad que
establece la misma, para lo cual se apoya en estándares internacionales tales como ISO/IEC
27001, norma en la que se describen un conjunto de herramientas corporativas que permiten
establecer un plan de acción para la solución de problemas de seguridad a nivel técnico,
organizativo y legislativo en una empresa. Estos sistemas utilizan como requisitos, estrategias
como el análisis, evaluación y gestión de riesgos dentro del ciclo PHVA (planear, hacer, verificar y
actuar), específicamente lo relacionado con la fase de planear, lo que requiere la selección de
una metodología sistemática que permita obtener una visión clara y priorizada de los riesgos a
los que se enfrenta la organización, identificando los más relevantes y priorizando medidas por
implantar para minimizar la probabilidad de materialización de dichos riesgos o el impacto, en
caso de materializarse

Con el desarrollo de la presente tarea, se busca que ustedes, apreciados estudiantes,

identifiquen las características generales de los distintos métodos que se usan en múltiples
naciones para el análisis, evaluación y gestión de riesgos informáticos para que a partir de su
estudio puedan establecer diferencias,

semejanzas, ventajas y desventajas respecto a su implementación.

OBJETIVO
Reconocer las características de los métodos de análisis, evaluación y gestión de riesgos
informáticos de

mayor uso en el mundo y establecer las posibles ventajas y desventajas del uso de cada uno, en
la implementación de un modelo al interior de una organización.

3
 Análisis de Riesgos Informáticos 2019

DESARROLLO DE LA ACTIVIDAD

1.METODOLOGIA Y MODELOS PARA LA GESTION DE RIEGOS.

Como se describe a lo largo del curso, los estándares relacionados en el conjunto de normas ISO
27000 no definen una metodología o procedimientos en particular para elaborar un sistema de
gestión de la seguridad de la información que incorpore la gestión del riesgo, sin embargo, los
lineamientos que propone delimitan de forma precisa los elementos y alcance que debe
incorporar el sistema para que se pueda afirmar que incorpora su análisis y gestión.

Tratamiento del riesgo: se define entonces el riesgo “como una amenaza que explota la
vulnerabilidad de un activo pudiendo causar daños” (ISO 27005, 2018). Es claro entonces que
para estar expuestos al riesgo se hace implícito el uso de la infraestructura de tecnologías y
comunicaciones de la organización.

Gestión del riesgo: se recomienda aplicar el enfoque de procesos para su gestión y definir uno
que se ajuste a las condiciones particulares de la organización, que sea estructurado,
sistemático, riguroso y que produzca como salida un plan de la organización para tratar los
riesgos. Este plan debe incorporar algunos indicadores clave que hagan evidente si la compañía
se encuentra expuesta a niveles de riesgo más altos que los previstos en el plan.

Evaluación del plan de tratamiento del riesgo: como parte del plan se debe incorporar la
posibilidad de hacer una evaluación continua de cada uno de los procesos que se incluyen como
parte del plan de tratamiento de riesgos. El sistema debe ser flexible en tanto permita su ajuste
a elementos sobrevinientes, como el caso de un nuevo virus o amenaza tipo ransomware que
aproveche brechas de seguridad desconocidas hasta el momento en los sistemas operativos o
aplicaciones que se ejecutan en la plataforma.

Identificar los riesgos: la norma ISO 27005:2018 asocia el término incertidumbre a la presencia
de un riesgo; en este sentido, se asocia el riesgo a algún grado de incertidumbre, es decir si
tengo una certeza absoluta de las consecuencias que puede tener una amenaza que se
materializa solo se habla de riesgo por la posibilidad que se presente más no por sus
consecuencias, porque estas ya se tienen en cuenta dentro del plan de tratamiento del riesgo.

4
 Análisis de Riesgos Informáticos 2019

2.CARACTERUISTICAS DE ANALISIS MODELO MEHARI

El principal objetivo de MEHARI es proporcionar una metodología de evaluación y gestión del
riesgo en el dominio de la Seguridad de la Información conforme a los requerimientos de la
norma ISO/IEC 27005 (MEHARI 2010a).

Valoracion del riesgo

Identificacion Estimacion Evaluacion

Cuales son
Gravedad? Aceptable?
los riesgos?

Tratamiento del Riesgo

Retencion Reduccion Tranferir Evitar

Gestion del Riesgo

plan de Implement Monitoreo

accion acion y Direccion

5
 Análisis de Riesgos Informáticos 2019

Metodología MEHARI
FASES SUB FASE ACTIVIDADES
Evaluación del contexto estratégico

Evaluar el contexto Evaluación del contexto técnico

Evaluación del contexto estructural

Fase Preparatoria

Determinación de perímetros técnicos

Determinar el alcance y sus limites Determinación de perímetros organizacionales

Determinación de estructura de pilotaje

Establecimiento tabla de aceptabilidad de riesgo

Establecer parámetros de riesgos
Establecimiento tabla de exposición natural
principales
Establecimiento tabla de evaluación del riesgo

Identificación de Escala de valores de mal funcionamiento

Clasificar activos y análisis de
Clasificación de activos
cuestiones
Fase operacional

Realización de tabla de impacto intrínseco

Evaluar la calidad del servicio de Establecimiento de un esquema de auditoría

seguridad Evaluación de la calidad de los servicios de seguridad

Selección de los escenarios parar el análisis

Evaluar el riesgo
Evaluación de los escenarios de riesgo

3. MATRIZ DE COMAPARACION
Una vez se revisa las diferentes metodologías, se han aplicado en algunos casos específicos,
como el de la Fundación Universitaria Área Andina, siendo referente para la implementación
de un SGSI basado en la norma ISO 27001, dentro de la cual se exige realizar el análisis de
riesgos, lo que ha permitido contrastar algunas ventajas y desventajas

AMBIENTE
METO VENTAJAS DESVENTAJAS
S
OCTAVE

organizaciones del estado y

1. Implementación y Desarrollo de 1. La aplicación de la metodología a un

planeación estratégica de la seguridad. tercero, se debe comprar la licencia al SEI .
La empresa pymes,

2. Sus procesos de autodirige y debido a

privadas.

eso se puede desarrollar y aplicar por los
mismos empleados de la organización,
aplicando un equipo como roles específicos
y multidisciplinario.
3. Involucra todo el personal de la
empresa.
2. Utiliza muchos mucha documentación
en procesos de análisis de riesgos, lo que
demanda mucho tiempo en la aplicación.
3. Se requiere de amplio conocimientos
técnicos o personas especializas en el
tema.

6
 Análisis de Riesgos Informáticos 2019

4. las amenazas principales se construyen

4. En algunos casos no define claramente
de los perfiles basados en activos de la
los activos de información.
organización.
5. Existen tres métodos de aplicación
Octave, Octave-S y Octave allegro, todos 5. No tiene en cuenta principios de repudio
adaptables a cualquier tipo de de la información
organización.
6. La aplicación es gratuita siempre y
cuando sea implementado en la misma
 
compañía y no a un tercero con fines de
ánimo de lucro.
7. Detención y relacionamiento de
 
amenazas y vulnerabilidades
8. Involucra procesos activos,
dependencias, recursos, vulnerabilidades y  
amenazas entre muchas otras.
9. Comprende las etapas de análisis y
 
gestión y control del riesgo
10. Identifica las vulnerabilidades de la
 
infraestructura.

METO AMBIENTES VENTAJAS DESVENTAJAS

1. Ayuda a las organizaciones a tener un mayor

reconocimiento en sus actividades de
ministerios y en el sector privado de pequeñas y grandes

1. Se construye más como una

seguridad de seguridad, ya que esta tiene
Es utilizada ampliamente en el sector público (En los

herramienta de soporte.
compatibilidad con las normas internacional
ISO.
2. Es una herramienta de negociación y
arbitraje.  
3. Es utilizada para múltiples finalidades y
procedimientos de seguridad.  
empresas)

4. Herramienta de código libre y libre

EBIOS

aplicación.  
5. se acopla al cumplimiento estándar de la
norma ISO27001, ISO27005 y ISO31000  
6. Herramienta de concientización para
involucrar a las partes involucradas(directivas,
usuarios y empleados)  
7. posee una base de conocimiento que
describe tipo y entidades, métodos de ataque,
vulnerabilidades, objetivos y requerimientos de
seguridad.
 

7
 Análisis de Riesgos Informáticos 2019

AMBIENTE
METO VENTAJAS DESVENTAJAS
S
1. el alcance es completo para el análisis 1. En su modelo no involucra los procesos,
de la gestión del riesgo. recursos, ni vulnerabilidades.
Gobierno y compañía grades comerciales y no comerciales pymes 2. Se encuentra completamente
2. Posee algunas falencia en el inventario
documentada para el análisis y gestión de
de políticas.
riesgos de amenazas y tipos de activos.

3, Utiliza completo análisis de gestión de 3. se considera una metodología costosa

la investigación cuantitativa y cualitativa. en su aplicación.
4. Es libre y no requiere uso de licencia
 
para su aplicación
MAGERIT

5. Divide los activos de la organización

en diferentes grupos, para identificar más
 
riesgos y poder tomar contramedidas para
mitigar cualquier riesgo

6. Se centraliza en sus tres objetivos

 
riegos, necesidad y tiempo.
7. Prepara a la organización para temas
de auditorías y control en certificación o  
acreditación
8. Posee buenas base documentales en
 
librerías y sitios web.
8. Pesen un herramienta para el análisis
 
de riesgos llamada PILAR.

AMBIENTE
METO VENTAJAS DESVENTAJAS
S
1. Para su análisis de los riegos utiliza 1. Se enfoca solo en principio de integrada,
metodología de la investigación confidencialidad y disponibilidad olvidando
Gobierno organismos, empresas grandes y medianas,
compañía comerciales sin ánimo de lucro (Educación,

cuantitativa y cualitativa. el no repudio

salud, servicios públicos, organizaciones privadas)

2. Es un método capaz de evaluar y lograr 2. La recomendación de los controles no se

la disminución de riesgos en función de
tipo de organización.
3. Posee base de datos de conocimiento
con manuales, guías y herramientas que
permiten realizar análisis de riesgos
MEHARI
incluye dentro del análisis, sino dentro de
la gestión de los riesgos.
3. El impacto de los riesgos, se estima en el
proceso de gestión y evaluación

cuando la empresa lo necesite.

4. Se complementa y se acopla a las
necesidades de la norma ISO27001,
 
ISO207002 y 27005 para definir los SGSI y
la gestión de riesgos.
5. Por medio de esta metodología se
detectan vulnerabilidades, mediante
 
auditorias y se analizas las situaciones de
riegos.
6. Cambian el análisis y evaluación de
riesgos, en particular se especifica un  
módulo de evaluación rapida y detallada.

8
 Análisis de Riesgos Informáticos 2019

AMBIENTE
METO VENTAJAS DESVENTAJAS
S
1. En su modelo no tiene contemplados los
Utilizadas por organizaciones gubernamentales y no
1. El costo es bajo relacionado con el
elementos como, los procesos, los activos
riesgo analizado y solventado la misma.
ni la dependencia.
2. Presenta un resumen de los
elementos claves de las pruebas de
seguridad técnica y las evaluación con
 
gubernamentales

énfasis en técnicas específicas, sus

NIST SP 800 - 30

beneficios, limitaciones y recomendaciones

para su uso.
3. La guía provee herramientas para la
 
valoración y mitigación de riesgo.
4. Asegura los sistemas informáticos,
que almacenan, procesan y trasmiten  
información.
5. Mejora la administración a partir de
 
los resultados del análisis de riesgo.
6. Se aplica en el análisis y gestión de los
 
riesgos.

4. METODO QUE IMPLEMENTARIA

En este momento me encuentro trabajando en una empresa gubernamental, debido a su campo
de acción y sus complejos procesos yo implementaría de MAGERIT debido a que su amplia
librerías de proceso que abarcan la implementación de manera efectiva integrándose con la
norma ISO27001, pero uno de sus puntos importantes es que Divide los activos de la organización
en diferentes grupos, para identificar más riesgos y poder tomar contramedidas para mitigar cualquier
riesgo, utilizando métodos de investigación completo análisis de gestión de la cuantitativa y cualitativa,
que en su caso en una herramienta muy importante.

Este proceso es robusto y seguro mitigan muchos riegos de la Gestión de la seguridad de la

información de manera efectiva. Aunque debemos recordar que solo es un método de
implementación de la norma, lo que importa en implementar toda la norma para la gestión de
seguridad que en este caso es la ISO 27001.

CONCLUSIÓN
Es importante establecer una metodología de análisis de riesgos dentro de los SGSI, lo que
permitirá dar a conocer las debilidades y fortalezas con que cuenta una organización por cada
uno de sus activos informáticos; se logrará identificar y valorar los procesos más críticos del
negocio, con el propósito de evaluar el nivel de protección adecuado, determinar y evaluar las
amenazas y su grado de efectividad para hacer frente a los riesgos y calcular el nivel de los
mismos, de tal forma, que la organización conozca con detalle la probabilidad de materialización
de cada una de las amenazas y el impacto que estas pueden ocasionar.

9
 Análisis de Riesgos Informáticos 2019

Cada una de las metodologías anteriormente expuestas ofrece un método sistematizado para
identificar y analizar los riesgos, además de planificar las medidas necesarias para reducirlos y
brindan herramientas que faciliten su análisis.

Las metodologías Octave, Magerit, Mehari, NIST SP 800 y Ebios poseen sus propias
características y se complementan entre sí, lo que les permite, a su vez, combinar otros
enfoques que hacen el proceso de análisis y gestión de los riesgos más robusto y eficiente.

BIBLIOGRAFÍA

C. Cerra, ISO 31000:2009. Herramienta para evaluar la gestión de riesgo, Uruguay. [On Line].
Disponible en: http://www.isaca.org/chapters8/Montevideo/cigras/ Documents/cigras2011-
cserra-presentacion1%20 modo%20de%20compatibilidad.pdf.

M. Castro, El Nuevo Estándar para la Gestión del Riesgo. [On Line]. Disponible en:
http://www.surlatina.cl/contenidos/archivos_articulos/13-el%20 nuevo%20estandar%20iso
%20para%20la%20gestion%20del%20riesgo.pdf

E. Daltabuit, L. Hernández, J. Vázquez. La Seguridad de la Información, México: Limusa Noriega

Editores S.A., 2009.

M. Doris. Metodologías de la seguridad informática. [On line]. Disponible en:

http://seguridadinformatica.
bligoo.ec/media/users/22/1142179/files/312461/Metodologia_de_la_Seguridad_Ing.pdf

J. Eterovic y G. Pagliari, Metodología de Análisis de Riesgos Informáticos. [Online]. Disponible en:

http:// www.cyta.com.ar/ta1001/v10n1a3.htm.

E. José (2013, Septiembre), Octave, Metodología para el análisis de riesgos de TI, Periódico de los
universitarios Universo, [On line]. Disponible en:
http://www.uv.mx/universo/535/infgral/infgral_08.html

G. Camilo (2013, Mayo) Magerit: metodología práctica para gestionar riesgos, welivesecurity en
español [On line]. Disponible en: http://www.welivesecurity. com/la-es/2013/05/14/magerit-
metodologia-practicapara-gestionar-riesgos/

Club de la securite de lìnformation francais, mehari, [On line]. Disponible en:

https://www.clusif.asso.fr/fr/production/ouvrages/pdf/MEHARI-2010-Introduccion.pdf

NIST, information security, national Institute of Standards and Technology [On line]. Disponible
en: http:// csrc.nist.gov/publications/nistpubs/800-30-rev1/ sp800_30_r1.pdf

10