0 calificaciones0% encontró este documento útil (0 votos)
2 vistas21 páginas
Este documento describe varias metodologías para el análisis y gestión de riesgos de sistemas de información. Presenta OCTAVE, MEHARI y MAGERIT, tres metodologías que evalúan riesgos basados en la confidencialidad, integridad y disponibilidad. También describe la guía NIST SP 800:30 y las normas ISO 31000 e ISO 27005 para la gestión de riesgos de seguridad de la información.
Este documento describe varias metodologías para el análisis y gestión de riesgos de sistemas de información. Presenta OCTAVE, MEHARI y MAGERIT, tres metodologías que evalúan riesgos basados en la confidencialidad, integridad y disponibilidad. También describe la guía NIST SP 800:30 y las normas ISO 31000 e ISO 27005 para la gestión de riesgos de seguridad de la información.
Este documento describe varias metodologías para el análisis y gestión de riesgos de sistemas de información. Presenta OCTAVE, MEHARI y MAGERIT, tres metodologías que evalúan riesgos basados en la confidencialidad, integridad y disponibilidad. También describe la guía NIST SP 800:30 y las normas ISO 31000 e ISO 27005 para la gestión de riesgos de seguridad de la información.
METODOLOGÍAS PARA EL ANÁLISIS Y GESTIÓN DE RIESGOS
METODOLOGÍA
La palabra, como tal, proviene del griego
méthodos, que significa ‘método’, y el sufijo -logía, que deriva de lógos y se traduce como ‘ciencia, estudio, tratado’. De esto podríamos decir que es la ciencia del método. METODOLOGÍA Serie de métodos y técnicas de rigor científico que se aplican sistemáticamente durante un proceso de investigación para alcanzar un resultado teóricamente válido. En este sentido, la metodología funciona como el soporte conceptual que rige la manera en que aplicamos los procedimientos en una investigación. ANÁLISIS Y GESTIÓN DE RIESGOS • Es la evaluación de los distintos peligros que afectan a nivel informático y que pueden producir situaciones de amenaza al negocio, como robos o intrusiones que comprometan los datos o ataques externos que impidan el funcionamiento de los sistemas propiciando periodos de inactividad empresarial. OBJETIVOS DEL ANÁLISIS Y GESTIÓN DE RIESGOS • Aumentar la probabilidad de alcanzar los objetivos. • Mejorar el aprendizaje organizacional. • Identificar las oportunidades y amenazas. • Mejorar la eficiencia y eficacia operacional. • Mejorar los controles. • Mejorar la capacidad de recuperación de la organización. • Asignar y utilizar recursos para el tratamiento del riesgo. • Mantener una estrategia de protección y reducción de riesgos. • Minimizar el impacto de un riesgo. METODOLOGÍA PARA EL ANÁLISIS Y GESTIÓN DE RIESGOS OCTAVE Metodología de análisis de riesgos desarrollada por la Universidad Carnegie Mellon en el año 2001, es acrónimo de “Operationally Critical Threat, Asset and Vulnerability Evaluation“ (Evaluación de vulnerabilidades, activos y amenazas operacionalmente críticas), estudia los riesgos en base a tres principios Confidencialidad, Integridad y Disponibilidad, esta metodología se emplea por distintas agencias gubernamentales tales como el Departamento de defensa de Estados Unidos. OCTAVE MEHARI Es la metodología de análisis y gestión de riesgos desarrollada por la CLUSIF (CLUb de la Sécurité de l’Information Français) en 1995 y deriva de las metodologías previas Melissa y Marion. La metodología ha evolucionado proporcionando una guía de implantación de la seguridad en una entidad a lo largo del ciclo de vida. Del mismo modo, evalúa riesgos en base a los criterios de disponibilidad, integridad y confidencialidad. MEHARI MAGERIT
La Metodología MAGERIT, es un método
formal para investigar los riesgos que soportan los Sistemas de Información y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos, esta metodología se elaboró por el Consejo Superior de Administración Electrónica – CSAE (España) y está basado en la ISO 31000. MAGERIT–ANÁLISIS DE RIESGOS MAGERIT–GESTIÓN DE RIESGOS NIST SP 800:30
Guía de gestión de riesgo para sistemas de
tecnología de la información – Recomendaciones del Instituto Nacional de Estándares y Tecnología (Agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos). NIST SP 800:30 - PASOS 1. Caracterización del sistema. 6. Análisis de impacto. 2. Identificación de amenaza. 7. Determinación del riesgo. 3. Identificación de 8. Recomendaciones de control. vulnerabilidades. 9. Documentación de resultados. 4. Análisis de controles. 5. Determinación de probabilidades. ISO 31000
ISO 31000 es la norma internacional
para la gestión del riesgo. Al proporcionar principios integrales y directivas, esta norma ayuda a las organizaciones con su análisis y evaluación de riesgos. ISO 31000 ISO 27005 Es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001. ISO 27005