AUDITORÍA Y SEGURIDAD

DE SISTEMAS

METODOLOGÍAS PARA EL ANÁLISIS Y GESTIÓN DE RIESGOS

METODOLOGÍA

La palabra, como tal, proviene del griego

méthodos, que significa ‘método’, y el
sufijo -logía, que deriva de lógos y se
traduce como ‘ciencia, estudio, tratado’.
De esto podríamos decir que es la ciencia
del método.
METODOLOGÍA
Serie de métodos y técnicas de rigor
científico que se aplican sistemáticamente
durante un proceso de investigación para
alcanzar un resultado teóricamente
válido.
En este sentido, la metodología funciona
como el soporte conceptual que rige la
manera en que aplicamos los
procedimientos en una investigación.
 ANÁLISIS Y GESTIÓN
DE RIESGOS
• Es la evaluación de los distintos peligros que afectan
a nivel informático y que pueden producir
situaciones de amenaza al negocio, como robos o
intrusiones que comprometan los datos o ataques
externos que impidan el funcionamiento de los
sistemas propiciando periodos de inactividad
empresarial.
OBJETIVOS DEL ANÁLISIS Y
GESTIÓN DE RIESGOS
• Aumentar la probabilidad de alcanzar los objetivos.
• Mejorar el aprendizaje organizacional.
• Identificar las oportunidades y amenazas.
• Mejorar la eficiencia y eficacia operacional.
• Mejorar los controles.
• Mejorar la capacidad de recuperación de la
organización.
• Asignar y utilizar recursos para el tratamiento del
riesgo.
• Mantener una estrategia de protección y reducción
de riesgos.
• Minimizar el impacto de un riesgo.
METODOLOGÍA PARA EL ANÁLISIS
Y GESTIÓN DE RIESGOS
OCTAVE
Metodología de análisis de riesgos desarrollada
por la Universidad Carnegie Mellon en el año
2001, es acrónimo de “Operationally Critical
Threat, Asset and Vulnerability Evaluation“
(Evaluación de vulnerabilidades, activos y
amenazas operacionalmente críticas), estudia los
riesgos en base a tres principios
Confidencialidad, Integridad y Disponibilidad,
esta metodología se emplea por distintas
agencias gubernamentales tales como el
Departamento de defensa de Estados Unidos.
OCTAVE
MEHARI
Es la metodología de análisis y gestión de
riesgos desarrollada por la CLUSIF (CLUb de la
Sécurité de l’Information Français) en 1995 y
deriva de las metodologías previas Melissa y
Marion. La metodología ha evolucionado
proporcionando una guía de implantación de la
seguridad en una entidad a lo largo del ciclo
de vida. Del mismo modo, evalúa riesgos en
base a los criterios de disponibilidad,
integridad y confidencialidad.
MEHARI
MAGERIT

La Metodología MAGERIT, es un método

formal para investigar los riesgos que
soportan los Sistemas de Información y para
recomendar las medidas apropiadas que
deberían adoptarse para controlar estos
riesgos, esta metodología se elaboró por el
Consejo Superior de Administración
Electrónica – CSAE (España) y está basado
en la ISO 31000.
MAGERIT–ANÁLISIS DE RIESGOS
MAGERIT–GESTIÓN DE RIESGOS
 NIST SP 800:30

Guía de gestión de riesgo para sistemas de

tecnología de la información – Recomendaciones del
Instituto Nacional de Estándares y Tecnología
(Agencia de la Administración de Tecnología del
Departamento de Comercio de los Estados Unidos).
 NIST SP 800:30 - PASOS
1. Caracterización del sistema. 6. Análisis de impacto.
2. Identificación de amenaza. 7. Determinación del riesgo.
3. Identificación de 8. Recomendaciones de control.
vulnerabilidades. 9. Documentación de resultados.
4. Análisis de controles.
5. Determinación de
probabilidades.
ISO 31000

ISO 31000 es la norma internacional

para la gestión del riesgo. Al
proporcionar principios integrales y
directivas, esta norma ayuda a las
organizaciones con su análisis y
evaluación de riesgos.
ISO 31000
ISO 27005
Es el estándar internacional que se
ocupa de la gestión de riesgos de
seguridad de información. La norma
suministra las directrices para la gestión
de riesgos de seguridad de la
información en una empresa, apoyando
particularmente los requisitos del sistema
de gestión de seguridad de la
información definidos en ISO 27001.
ISO 27005