Metodologías para el

análisis de riesgos

Edson Saul Mata Aldama

CNO IV Programación WAP
Rafael Llamas
4 de octubre del 2021
Introducción

Antes de pasar a describir el análisis efectuado sobre cada metodología propuesta,

tenemos que entender que es una metodología, así, de esta manera podemos definir los

criterios de diferenciación entre cada una de las 5.

Una metodología es el conjunto de procedimientos racionales utilizados para alcanzar el

objetivo que rige una tarea que requiera de habilidades, conocimientos o cuidados

específicos.

Estas existen escondidas inconscientemente en nuestro día a día. Desde tareas sencillas

como alistarse para tu día, como para tareas complejas que se desarrollan en nuestra

vida laboral o vida estudiantil, mas siendo parte de un área como lo es la informática.

Básicamente son series de pasos especificados para lograr una meta.

Por otra parte, también tenemos que conceptualizar lo que representa un “análisis de

riesgo”, un análisis de riesgo es el uso sistemático de la información disponible para

determinar la frecuencia con la que determinados eventos se pueden producir y la

magnitud de sus consecuencias.

MAGERIT
Puntualmente MAGERIT se basa en analizar el impacto que puede tener para la
empresa la violación de la seguridad, buscando identificar las amenazas que pueden
llegar a afectar la compañía y las vulnerabilidades que pueden ser utilizadas por estas
amenazas, logrando así tener una identificación clara de las medidas preventivas y
correctivas más apropiadas.

MAGERIT persigue los siguientes Objetivos Directos:

Concienciar a los responsables de las organizaciones de información de la existencia de

riesgos y de la necesidad de gestionarlos

Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías
de la información y comunicaciones (TIC)

Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo
control Indirectos

Preparar a la Organización para procesos de evaluación, auditoría, certificación o

acreditación, según corresponda en cada caso
Esta metodología es muy útil para aquellas empresas que inicien con la gestión de la
seguridad de la información, pues permite enfocar los esfuerzos en los riesgos que
pueden resultar más críticos para una empresa, es decir aquellos relacionados con los
sistemas de información. Lo interesante es que al estar alineado con los estándares de
ISO es que su implementación se convierte en el punto de partida para una certificación
o para mejorar los sistemas de gestión.

CRAMM

La metodología de CRAMM incluye las siguientes 3 etapas:

La primera de las etapas recoge la definición global de los objetivos de seguridad entre
los que se encuentra la definición del alcance, la identificación y evaluación de los activos
físicos y software implicados, la determinación del valor de los datos en cuanto a impacto
en el negocio y la identificación.

En la segunda etapa de la metodología se hace el análisis de riesgos, identificando las

amenazas que afecta al sistema, así como las vulnerabilidades que explotan dichas
amenazas y por último el cálculo de los riesgos de materialización de las mismas.

En la tercera etapa se identifican y seleccionan las medidas de seguridad aplicadas en

la entidad obteniendo los riesgos residuales, CRAMM proporciona una librería unas 3000
medidas de seguridad.
CRAMM es aplicable a todo tipo de sistemas y redes de información y se puede aplicar
en todas las etapas del ciclo de vida del sistema de información, desde la planificación y
viabilidad, a través del desarrollo e implementación de este. CRAMM se puede utilizar
siempre que sea necesario para identificar la seguridad y/o requisitos de contingencia
para un sistema de información o de la red.

MEHARI

El objetivo de esta metodología es permitir un análisis directo e individual de situaciones

de riesgos descritas en diferentes escenarios y proporcionar un completo conjunto de
herramientas específicamente diseñadas para la gestión de la seguridad a corto, medio
y largo plazo, adaptables a diferentes niveles de madurez.

Las fases de la metodología MEHARI son las siguientes:

1. Análisis o evaluación de riesgos

• Para ello, integra herramientas (como criterios de evaluación, fórmulas, etc.) y
bases de datos de conocimiento (en particular para el diagnóstico de las medidas
de seguridad), como complemento esencial al marco de análisis de riesgos.

2. Evaluaciones de seguridad
• Revisión de vulnerabilidades o evaluación de los servicios de seguridad: MEHARI
proporciona un modelo de riesgos estructurado que considera los factores de
reducción del riesgo en forma de servicios de seguridad.
• Planes de seguridad basados en la revisión de vulnerabilidades: se realizará la
confección de planes de seguridad como resultado directo de la evaluación del
estado de los servicios de seguridad.
• Apoyo en las BBDD en la creación de un marco de referencia de seguridad: las
bases de datos de conocimiento de MEHARI se pueden utilizar directamente para
crear un marco de referencia de seguridad que contendrá y describirá el conjunto
de reglas e instrucciones de seguridad que debe seguir la organización.
 • Dominios cubiertos por el módulo de evaluación de vulnerabilidades: desde un
punto de vista de análisis de riesgo, en base a la identificación de todas las
situaciones de riesgo y con el deseo de cubrir todos aquellos riesgos inaceptables,
MEHARI no se limita simplemente al dominio IT.

3. Análisis de amenazas
• Escala de valores de posibles malfuncionamientos en sus procesos
operacionales.
• Clasificación de la información y de los activos TI: consiste en la definición, para
cada tipo de información, para cada tipo de activo TI, y para cada criterio de
clasificación (habitualmente Confidencialidad, Integridad y Disponibilidad). La
clasificación de la información de los activos es la escala de los valores de
malfuncionamiento definida anteriormente traducido a indicadores de sensibilidad
asociados con los activos TI.

OCTAVE

Al igual que CRAMM cuenta con 3 fases durante el proceso de desarrollo de la

metodología:

1) La primera contempla la evaluación de la organización, se construyen los perfiles

activo-amenaza, recogiendo los principales activos, así como las amenazas y requisitos
como imperativos legales que puede afectar a los activos, las medidas de seguridad
implantadas en los activos y las debilidades organizativas.
2) En la segunda se identifican las vulnerabilidades a nivel de infraestructura de TI.
3) En la última fase de desarrolla un plan y una estrategia de seguridad, siendo
analizados los riesgos en esta fase en base al impacto que puede tener en la misión de
la organización.
Además, se desarrollan planes para mitigar los riesgos prioritarios y una estrategia de
protección para la organización.
NIST Risk Management Framework
Los objetivos principales por los cuales nació la metodología NIST SP800-30 fueron:

• Seguro de los sistemas de información que se encargan de almacenar, procesar

y transmitir información.
• Gestión de Riesgos.
• Mejorar la administración de Riesgos a partir del resultado en el análisis.
• Salvaguardar las habilidades de la organización para alcanzar su misión.
• Ser una función esencial de la administración.
Conclusión

Por lo que tengo entendido, gran parte de la información de carácter sensible es

manejada y administrada por sistemas subarrendados por la universidad (blackboard,
self service, etc.…). Así que lógicamente las áreas de oportunidad donde se puedan
aplicar estas metodologías son muy pocas si no es que nulas.

La biblioteca es la opción que mas resuena en mi cabeza, ya que a pesar de no manejar

información tan sensible como lo pueden hacer otras áreas, si se lidia con el conflicto de
registrar entradas y salidas de documentos ligados a una credencial estudiantil.

La metodología “CRAMM” me parece la mejor opción puesto que su implementación

tiene alto impacto en una balanza costo-beneficio-tiempo. Al ser de las metodologías
más básicas de implementar, queda acorde a el nivel de información que tratamos de
proteger. Cuidando por supuesto los criterios de costo y tiempo de implementación.

Bibliografía
Novoa, H. A., & Barrera, C. R. (2015). Metodologías para el análisis de riesgos en los
sgsi. Publicaciones e Investigación, 9, 73-86.

Plaut, R. (1984). Análisis de riesgo. Alcance y limitaciones para el administrador de

salud. Boletín de la Oficina Sanitaria Panamericana (OSP); 96 (4), abr. 1984.

Gómez, R., Pérez, D. H., Donoso, Y., & Herrera, A. (2010). Metodología y gobierno de la
gestión de riesgos de tecnologías de la información. Revista de ingeniería, (31), 109-118.