Análisis funcional de las metodologías (Magerit, octave y Meha – ri)

ANÁLISIS FUNCIONAL DE LAS METODOLOGÍAS

MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo

Superior de Administración Electrónica, como respuesta a la percepción de que la
Administración, y, en general, toda la sociedad, dependen de forma creciente de las
tecnologías de la información para el cumplimiento de su misión.

La razón de ser de MAGERIT está directamente relacionada con la generalización del uso
de las tecnologías de la información, que supone unos beneficios evidentes. 20 para los
usuarios; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de
seguridad que generen confianza.

Interesa a todos aquellos que trabajan con información digital y sistemas informáticos para
tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos,
MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a protegerlo.
Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente,
imprescindible para poder gestionarlos. Con MAGERIT se persigue una aproximación
metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

 Análisis de Riesgos
 Gestión de Riesgos

PRINCIPALES ELEMENTOS DE MAGERIT

 Escalas de valores cualitativos, cuantitativos y de indisponibilidad del servicio.
 Modelo de frecuencia de una amenaza como una tasa anual de ocurrencia.
 Escala alternativa de estimación del riesgo.
 Catálogos de amenazas
 Catálogos de medidas de control
OCTAVE
Operationally Critical Threat, Asset, and Vulnerability Evaluation por sus siglas en ingles
es una metodología de análisis y gestión de riesgos, donde el objetivo principal es
garantizar los sistemas informáticos dentro de una organización es un conjunto de
herramientas, técnicas y métodos para desarrollar análisis de riesgos basados en gestión y la
planeación estratégica de la organización. Son todas las acciones que necesitan ser llevadas
a cabo dentro de la organización para realizar la gestión de activos, conocer posibles
amenazas y evaluar vulnerabilidades.

Existen 3 versiones de la metodología OCTAVE:

 La versión original de OCTAVE
 La versión para pequeña empresa OCTAVE-S
 21 Cuenta con 3 fases durante el proceso de desarrollo de la metodología:

La primera contempla la evaluación de la organización, se construyen los perfiles activo-

amenaza, recogiendo los principales activos, así como las amenazas y requisitos como
imperativos legales que puede afectar a los activos, las medidas de seguridad

Implantadas en los activos y las debilidades organizativas.

En la segunda se identifican las vulnerabilidades a nivel de infraestructura de TI. En la
última fase de desarrolla un plan y una estrategia de seguridad, siendo analizados los
riesgos en esta fase en base al impacto que puede tener en la misión de la organización.

 Construcción de los Perfiles de Amenazas Basados en Activos

 Identificación de la Infraestructura de Vulnerabilidades
 Desarrollo de Planes y Estrategias de Seguridad
MEHARI
Método Armonizado de Análisis de Riesgos esta metodología originalmente desarrollada
por la comisión Métodos de Clusif16, en 1996 es una metodología utilizada para apoyar a
los responsables de la seguridad informática de una empresa mediante un análisis riguroso
de los principales factores de riesgos evaluando cuantitativamente de acuerdo a la situación
de la organización donde se requiere el análisis, acopla los objetivos estratégicos existentes
con los nuevos métodos de funcionamiento de la empresa, esto se lo realiza mediante una
política de seguridad y mantenimiento de los riesgos a un nivel convenido.

22 MEHARI propone un módulo para analizar los intereses implicados por la seguridad, y
un método de análisis de riesgos con herramientas de apoyo. Estos dos son necesarios para
evaluar de una manera exitosa los riesgos en una empresa.

Los diagnósticos de seguridad

Esta metodología propone dos módulos para realizar el análisis de riesgos dentro de una
organización:

 Modulo rápido.
 Modulo detallado.

En los dos casos el objetivo es el mismo, es decir evaluar el nivel de seguridad de la

organización. La diferencia radica en el nivel de profundidad de la evaluación, en este caso
el módulo rápido resultara menos preciso y el módulo detallado más confiable.

El módulo rápido es utilizado generalmente para una primera evaluación en la cual se

identifican las principales debilidades de una organización. En el módulo de análisis
detallado se analiza todas las posibles debilidades de cada uno de los servicios de seguridad
con los que cuenta la organización a evaluar, con lo cual se crea una base experta, la misma
que podremos utilizar posteriormente para el análisis de riesgos.

https://1library.co/article/an%C3%A1lisis-funcional-metodolog%C3%ADas-
metodolog%C3%ADas-inform%C3%A1tica-forense.zx5ojk4q
Resumen de Análisis funcional de las metodologías (Magerit, octave y Meha – ri)

Por los múltiples acontecimientos en la actualidad de los llamados delitos informáticos es

por lo que existen diversas herramientas destinadas a ayudar a cientos de compañías que
existen en el mundo a proteger su activo más importante: la información. El término
HACKER muy conocido hoy día, corresponde o hace referencia a una persona que ingresa
de manera indebida a los sistemas de información y sin autorización, para provocar daños
en los millones de datos que estén almacenados, el ingreso ilegal por así llamarlo es lo que
se conoce como una amenaza a la organización y/o empresa. Es por esta razón, que con los
avances tecnológicos se han ido creando de igual forma procedimientos o métodos que
ayuden a descubrir con antelación esas vulnerabilidades, conocidas como debilidades
dentro de los sistemas, que existen tanto a nivel físico, en el personal que administra los
equipos; como a nivel lógico, en lo equipos de seguridad. De esta manera, surgen las
llamadas metodologías de los sistemas de información, destinadas a trabajar conjuntamente
con los integrantes de una empresa para determinar qué tipos de debilidades poseen, a qué
tipo de amenazas están expuestos y como combatirlas o como evitarlas.