Documentos de Académico
Documentos de Profesional
Documentos de Cultura
análisis de riesgos
tenemos que entender que es una metodología, así, de esta manera podemos definir los
objetivo que rige una tarea que requiera de habilidades, conocimientos o cuidados
específicos.
Estas existen escondidas inconscientemente en nuestro día a día. Desde tareas sencillas
como alistarse para tu día, como para tareas complejas que se desarrollan en nuestra
vida laboral o vida estudiantil, mas siendo parte de un área como lo es la informática.
Por otra parte, también tenemos que conceptualizar lo que representa un “análisis de
Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías
de la información y comunicaciones (TIC)
Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo
control Indirectos
CRAMM
La primera de las etapas recoge la definición global de los objetivos de seguridad entre
los que se encuentra la definición del alcance, la identificación y evaluación de los activos
físicos y software implicados, la determinación del valor de los datos en cuanto a impacto
en el negocio y la identificación.
MEHARI
2. Evaluaciones de seguridad
• Revisión de vulnerabilidades o evaluación de los servicios de seguridad: MEHARI
proporciona un modelo de riesgos estructurado que considera los factores de
reducción del riesgo en forma de servicios de seguridad.
• Planes de seguridad basados en la revisión de vulnerabilidades: se realizará la
confección de planes de seguridad como resultado directo de la evaluación del
estado de los servicios de seguridad.
• Apoyo en las BBDD en la creación de un marco de referencia de seguridad: las
bases de datos de conocimiento de MEHARI se pueden utilizar directamente para
crear un marco de referencia de seguridad que contendrá y describirá el conjunto
de reglas e instrucciones de seguridad que debe seguir la organización.
• Dominios cubiertos por el módulo de evaluación de vulnerabilidades: desde un
punto de vista de análisis de riesgo, en base a la identificación de todas las
situaciones de riesgo y con el deseo de cubrir todos aquellos riesgos inaceptables,
MEHARI no se limita simplemente al dominio IT.
3. Análisis de amenazas
• Escala de valores de posibles malfuncionamientos en sus procesos
operacionales.
• Clasificación de la información y de los activos TI: consiste en la definición, para
cada tipo de información, para cada tipo de activo TI, y para cada criterio de
clasificación (habitualmente Confidencialidad, Integridad y Disponibilidad). La
clasificación de la información de los activos es la escala de los valores de
malfuncionamiento definida anteriormente traducido a indicadores de sensibilidad
asociados con los activos TI.
OCTAVE
Bibliografía
Novoa, H. A., & Barrera, C. R. (2015). Metodologías para el análisis de riesgos en los
sgsi. Publicaciones e Investigación, 9, 73-86.
Gómez, R., Pérez, D. H., Donoso, Y., & Herrera, A. (2010). Metodología y gobierno de la
gestión de riesgos de tecnologías de la información. Revista de ingeniería, (31), 109-118.