METODOLOGÍAS DE EVALUACIÓN

DE RIESGOS
NIST 800-37V2

La publicación especial de la serie 800 informa sobre la

investigación, las directrices y los esfuerzos de
divulgación de ITL en materia de seguridad y privacidad
de los sistemas de información y sus actividades de
colaboración con la industria, el gobierno y las
organizaciones académicas
 Pasos

1 2 3
4
Pasos y estructura

5 6 7
FASE DE PREPARACIÓN

¿POR QUÉ FUE

INCORPORADO?

Fue incorporado para lograr procesos de

gestión de riesgos de seguridad y
privacidad más efectivos, eficientes y
rentables.
 Facilitar la comunicación efectiva entre los
Objetivos líderes superiores y ejecutivos a nivel de
organización.
principales de la
fase de
preparación.
Facilitar la identificación de controles comunes
en toda la organización.

Reducir la complejidad de la infraestructura de

tecnología de la información
Objetivos Identificar, priorizar y enfocar los recursos en
principales de la los activos de alto valor (HVA) de la

fase de
organización que requieren mayores niveles de
protección, tomando medidas acordes con el
preparación. riesgo para dichos activos.

Reducir la complejidad de los sistemas

eliminando funciones innecesarias y
capacidades de seguridad y privacidad que no
abordan el riesgo de seguridad y privacidad.
Principales objetivos de la actualización

Proporcionar una vinculación y comunicación más estrecha entre los procesos

y actividades de gestión de riesgos de la organización.

Institucionalizar las actividades preparatorias críticas de gestión de riesgos en

toda la organización en todos los niveles de gestión de riesgos

Integrar conceptos, principios y procesos de gestión de riesgos de privacidad

en el RMF

Promover el desarrollo de software y sistemas seguros y confiables alineando

los procesos de ingeniería de sistemas basados ​en el ciclo de vida en NIST SP
800-160
Octave

OCTAVE es una metodología de evaluación

de riesgos para identificar, administrar y
evaluar los riesgos de seguridad de la
información.

Las metodologías OCTAVE se crearon para

abordar los desafíos de seguridad de la
información del Departamento de Defensa
de los Estados Unidos, pero como ha
demostrado su eficacia, ahora esta
metodología está abierta al público.
Octave Allegro
● La metodología OCTAVE está dirigida
principalmente a las personas responsables
de administrar los riesgos operativos de una
organización.
● OCTAVE Allegro es una metodología para
reestructurar y optimizar el proceso de
medición de riesgos de seguridad de la
información
● Para facilitar el uso de todo el proceso,
Allegro ha reducido muchos requisitos y
complicaciones que se incluyeron en las
versiones anteriores de OCTAVE.
Allegro contiene un proceso de ocho pasos dividido en cuatro categorías que permite a las
organizaciones identificar, analizar, evaluar y mitigar los riesgos potenciales.

Establecer impulsores Activos de perfil
La organización Se crean los perfiles de
desarrolla criterios de activos de información.
medición de riesgos que Después de identificar y
son consistentes con los crear los perfiles, se
impulsores identifican los
organizacionales. contenedores de los
activos y el perfil de cada
activo se captura en una
sola hoja de trabajo.
Identificar Identificar y mitigar
amenazas riesgos
Esta área incluye los Los riesgos se
pasos 4 y 5 donde las identifican y analizan en
amenazas a los activos función de la
de información se información sobre
identifican y documentan amenazas y las
a través de un proceso estrategias de mitigación
estructurado. desarrolladas para
abordar esos riesgos.
Cómo implementar La metodología OCTAVE Allegro desarrollada por CERT
incluye orientación, hojas de trabajo y cuestionarios

Octave necesarios para realizar una evaluación OCTAVE

Allegro.

Uno de los factores más críticos para realizar con

éxito las metodologías OCTAVE es obtener el
patrocinio de la alta dirección de la organización

as metodologías OCTAVE brindan una

perspectiva única que implica la
colaboración entre la identificación,
evaluación y mitigació
RISK IT

Risk IT es un marco basado en un

conjunto de principios para una
gestión eficaz del riesgo de IT. El
marco complementa a COBIT, un
marco integral para la
gobernanza y el control de
soluciones y servicios basados en
TI orientados a los negocios.
¿Qué es RISK IT?

● Es un marco para ayudar a

establecer una gobernanza y
gestión efectivas del riesgo de TI
● Parte de la cartera de productos de
ISACA sobre gobierno de TI
● También es un marco basado en
un conjunto de principios rectores
para la gestión eficaz del riesgo de
TI
¿Qué hace RISK IT?

● Permite a las empresas personalizar

los componentes provistos en el
marco
● Proporciona una visión integral de
principio a fin de todos los riesgos
relacionados con el uso de TI y su
tratamiento
● Permite a las empresas comprender y
administrar todos los tipos de riesgo
de TI importantes
¿Qué hace RISK IT?
● Proporciona beneficios comerciales
tangibles.
● Permite a la empresa tomar decisiones
apropiadas con conciencia del riesgo
● Explica cómo capitalizar una inversión
realizada en un sistema de control
interno de TI
● Permite la integración con el riesgo
general y las estructuras de
cumplimiento dentro de la empresa
 ¿Cuáles son los beneficios de usar Risk IT?
● Un lenguaje común para ayudar a la
comunicación entre negocios, TI, gestión
de riesgos y auditorías
● Orientación completa sobre cómo
gestionar los riesgos de IT
● Un perfil de riesgo completo para
comprender mejor el riesgo
● Una mejor comprensión de los roles y
responsabilidades con respecto a la
gestión de riesgos de TI
● Alineamiento con ERM
 ¿Cuáles son los beneficios de usar Risk IT?

● Una mejor visión del riesgo relacionado

con TI y sus implicaciones financieras
● Menos sorpresas y fallas operativas
● Mayor calidad de la información.
● Mayor confianza de las partes
interesadas y menores preocupaciones
regulatorias
● Aplicaciones innovadoras que
respaldan nuevas iniciativas
empresariales.
MAGERIT

MAGERIT es la metodología de análisis y

gestión de riesgos elaborada por el Consejo
Superior de Administración Electrónica,
como respuesta a la percepción de que la
Administración, y, en general, toda la
sociedad, dependen de forma creciente de
las tecnologías de la información para el
cumplimiento de su misión.
Objetivos
MAGERIT persigue los siguientes Objetivos Directos:

1. Concienciar a los responsables de las organizaciones de información de la existencia de riesgos

y de la necesidad de gestionarlos

2. Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la
información y comunicaciones (TIC)

3. Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control
Indirectos

4. Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación,

según corresponda en cada caso
● MAGERIT se encuentra estructurado por 3 libros:

○ Libro I: Método (Descripción de la metodología, fases y tareas a

ejecutar).
○ Libro II: Catálogo de elementos (Especificación de términos y
criterios técnicos).
○ Libro III: Guía de técnicas (explicación de las técnicas cuantitativas y
cualitativas en el Análisis y Gestión del Riesgo).
MÉTODO DE ANÁLISIS DE RIESGOS

Indica los pasos a seguir para determinar y evaluar de

forma adecuada los riesgos, amenazas y salvaguardas que
puede tener y ejecutar la compañía.

● Establecer los activos relevantes para la organización,

su interrelación y su valor.
● Definir a qué amenazas están expuestos los activos.
● Determinar las salvaguardas que hay dispuestas y
cuán eficaces son frente al riesgo.
● Estimar el impacto o daño sobre el activo derivado
de la materialización de la amenaza.
● Estimar el riesgo y el impacto ponderado con la tasa
de ocurrencia de la amenaza.
PILAR

● PILAR es un conjunto de herramientas cuya función es el análisis y la gestión de riesgos

de un sistema de información siguiendo la metodología Magerit (Metodología de
Análisis y Gestión de Riesgos de los Sistemas de Información) y que ha sido desarrollada
en coordinación con el CCN y parcialmente financiada por el mismo.
Togaf

El desarrollo original
El estándar
de TOGAF Versión 1
TOGAF es El estándar TOGAF es un marco
en 1995 se basó en el
desarrollado y para la arquitectura empresarial.
Marco de
mantenido por Puede ser utilizado libremente
Arquitectura Técnica
miembros de The por cualquier organización que
para la Gestión de la
Open Group desee desarrollar una
Información,
desarrollado por el arquitectura empresarial para su
Departamento de uso dentro de esa organización
Defensa de los
Estados Unidos.
Estructura
 PARTE 1 PARTE 2 PARTE 3 PARTE 4 PARTE 5

(Introducción) Esta (Método de desarrollo (Pautas y técnicas) (Marco de contenido (Enterprise Continuum &
parte proporciona una de arquitectura) Esta parte contiene de arquitectura) Esta Tools) Esta parte discute
introducción de alto Describe el método de una colección de parte describe el las herramientas
nivel a los conceptos desarrollo de pautas y técnicas marco de contenido de apropiadas para
clave de la arquitectura TOGAF: disponibles para su TOGAF, que incluye un clasificar y almacenar
arquitectura un enfoque paso a uso en la aplicación metamodelo los resultados de la
empresarial y, en paso para desarrollar del enfoque TOGAF y estructurado para actividad de arquitectura
particular, el enfoque una arquitectura el TOGAF ADM. artefactos dentro de una empresa.
TOGAF. Contiene las empresarial. arquitectónicos
definiciones de los
términos utilizados en
este estándar.
(Marco de capacidad de arquitectura) Esta parte discute la organización,
PARTE 6 procesos, habilidades, roles y responsabilidades requeridas para establecer y
operar una función de arquitectura dentro de una empresa.

Hay seis partes en este documento

Información sobre El estándar TOGAF está disponible gratuitamente para
ver en línea sin licencia. Alternativamente, se puede

el uso del estándar descargar y almacenar bajo licencia, como se explica

en el sitio web de información de TOGAF.

TOGAF Las descargas del estándar TOGAF, incluidos los

archivos PDF imprimibles, están disponibles bajo
licencia en el sitio web de información de TOGAF

Open Group se compromete a brindar una mayor

eficiencia comercial al reunir a compradores y
proveedores de sistemas de información para reducir
las barreras de la integración de nuevas tecnologías
en toda la empresa.

Su objetivo es hacer realidad la visión del flujo de

información sin límites.
 RISK IT OCTAVE NIST MAGERIT
(Cobit)

Confidencialidad SI SI SI SI

Integridad SI SI SI SI

Disponibilidad SI SI SI SI

Autenticidad NO NO NO SI

Trazabilidad NO NO NO SI

Efectividad SI NO NO NO

Eficiencia SI NO NO NO

Cumplimeinto SI NO NO NO

Confiabilidad SI NO NO NO

COMPARATIVA
 HARDWARE SOFTWARE BASES DE REDES Y RECURSO LEGAL FINANCIERO SERVICIOS
DATOS COMUNICA- HUMANO
CIONES

RISK IT

OCTAVE

NIST 800-
30

MAGERIT

COMPARATIVA
CONCLUSIÓN

COBIT
 ¿POR QUÈ?

Se centra en el cumplimiento de los objetivos de la

organización y constituye un modelo aceptado a
nivel mundial en materia de control y seguridad de
la información.

A diferencia de otros modelos que buscan eliminar

riesgos, este considera la probabilidad de tomar
riesgos y buscar un beneficio de estos. Siempre y
cuando se busque un balance riesgo-costo.