Estndares para evaluar riesgos de seguridad de la informacin

La gestin de riesgos seguridad de la informacin es quizs el proceso ms importante para el desarrollo, mantenimiento y mejora de un sistema eficaz de gestin de seguridad de la informacin. Las metodologas de anlisis y/o evaluacin de riesgos existentes ayudan en gran medida a las organizaciones a acelerar este proceso. En este artculo hemos incluido unas cuantas, de las ms utilizadas. NIST RMF Se trata de un marco donde la evaluacin del riesgo de la informacin se define mediante un proceso de 6 pasos: clasificar, seleccionar, implementar, evaluar, autorizar y monitorizar. El enfoque es ligeramente diferente de otros que veremos a continuacin. Este marco ha sido desarrollado por y para las entidades que forman el gobierno de los EE.UU., no obstante, se puede adaptar a cualquier empresa u organizacin. SP800-30 Es uno de los 800 informes publicados por NIST. En l se ofrece una gua muy detallada acerca de lo que debemos de considerar dentro cualquier proceso de evaluacin de riesgos de seguridad. Esta gua incluye listas de verificacin detalladas, grficos, diagramas de flujo y frmulas de clculo, as como las referencias a leyes y regulaciones de EE.UU. ISO / IEC 27005 Forma parte de la familia de normas ISO 27000 o, lo que es lo mismo, los estndares desarrollados por ISO destinados a proporcionar un marco de gestin de seguridad de la informacin utilizable por cualquier tipo de organizacin. La ISO 27005 sustituye a la antigua ISO / IEC 13335 y describe el proceso completo de gestin de riesgos dividindolo en 6 fases: Establecimiento del Alcance, Valoracin de Riesgos (formada por las tareas de Anlisis y Evaluacin), Tratamiento de Riesgos, Aceptacin de Riesgos, Comunicacin de Riesgos y Monitorizacin y Revisin de Riesgos. Sus anexos incluyen ejemplos de diversos enfoques, as como listas de posibles amenazas, vulnerabilidades y controles de seguridad.

MAGERIT Se trata de una metodologa desarrollada por el Consejo Superior de Administracin Electrnica dependiente del MAP, destinada en un principio a ayudar a los organismos de la administracin pblica espaola a conocer el riesgo a que estaban sometidos sus sistemas de informacin, pero cuyas guas han sido adoptadas por otras entidades de derecho privado. MAGERIT describe los pasos y las tareas bsicas para realizar un proyecto de anlisis y gestin de riesgos, y proporciona una serie de aspectos prcticos. En la actualidad se encuentra en su versin 2. OCTAVE Es un conjunto de herramientas, tcnicas y mtodos para llevar a cabo evaluaciones de riesgo de seguridad de informacin, desarrolladas por CERT y la Universidad Carnegie Mellon. Tiene diferentes versiones adecuadas para diferentes tamaos y el tipo de organizaciones: OCTAVE-Method est destinado a las grandes organizaciones, mientras que OCTAVE-S es para pymes. Por otra parte, OCTAVE - Allegro es una variacin de OCTAVE-Method muy enfocada a los activos de informacin. FAIR Mtodo de evaluacin que suele ser utilizado para realizar anlisis de riesgos cualitativos y algo ms sofisticados por lo que, en ocasiones, suele complementar otras metodologas. FAIR no est disponible por completo de manera pblica y por tanto son pocos los usuarios expertos en la materia. TARA Fue desarrollada por Intel para llevar a cabo sus evaluaciones de riesgos de seguridad y posteriormente decidi hacerla pblica. Se centra en el seguimiento y la evaluacin continua de los controles de seguridad, incluyendo documentacin de cambios en los sistemas, la realizacin de anlisis de impacto a los cambios asociados, y la premisa de informar sobre el estado de seguridad a los empleados o participantes de la organizacin de una forma regular. EBIOS Es un conjunto completo de guas (adems de una herramienta gratuita de software de cdigo abierto), dedicada a los administradores de sistemas. Originalmente desarrollada por el gobierno francs, en la actualidad esta

metodologa se mantiene gracias a las aportaciones de un grupo de expertos de diversos orgenes. EBIOS se utiliza ampliamente en la administracin pblica, as como en el sector privado, tanto en Francia como en el extranjero. Es compatible con los principales estndares de seguridad de TI.

http://www.sigea.es/articulos/46-analisis-de-riesgos/179-estandares-para-evaluar-riesgosde-seguridad-de-la-informacion.html

Entorno de Anlisis de Riesgos

Las herramientas EAR soportan el anlisis y la gestin de riesgos de un sistema de informacin siguiendo la metodologa Magerit,

Los activos estn expuestos a amenazas que, cuando se materializan, degradan el activo, produciendo un impacto. Si estimamos la frecuencia con que se materializan las amenazas, podemos deducir el riesgo al que est expuesto el sistema. Degradacin y frecuencia califican la vulnerabilidad del sistema. El gestor del sistema de informacin dispone de salvaguardas, que o bien reducen la frecuencia de ocurrencia, o bien reducen o limitan el impacto. Dependiendo del grado de implantacin de estas salvaguardas, el sistema pasa a una nueva estimacin de riesgo que se denomina

MAGERIT versin 2. Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin

Introduccin:
Las organizaciones, pblicas o privadas, dependen de forma creciente de las tecnologas de la informacin para la consecucin de sus objetivos de servicio. La razn de ser de Magerit est directamente relacionada con la generalizacin del uso de los medios electrnicos, informticos y telemticos, que supone unos beneficios evidentes para los usuarios; pero tambin da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza en el uso de tales medios. Magerit interesa a todos aquellos que trabajan con informacin mecanizada y los sistemas informticos que la tratan. Si dicha informacin o los servicios que se prestan gracias a ella son valiosos, Magerit les permitir saber cunto de este valor est en juego y les ayudar a protegerlo. Conocer el riesgo al que estn sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos y por ello han aparecido multitud de guas informales, aproximaciones metdicas y herramientas de soporte todas las cuales buscan objetivar el anlisis para saber cun seguros (o inseguros) estn y no llamarse a engao. El gran reto de todas estas aproximaciones es la complejidad del problema al que se enfrentan; complejidad en el sentido de que hay muchos elementos que considerar y que, si no se es riguroso, las conclusiones sern de poco fiar. Es por ello que se persigue una aproximacin metdica que no deje lugar a la improvisacin, ni dependa de la arbitrariedad del analista. Pese a que se ha puesto en manos de los sistemas de informacin graves responsabilidades para cumplir los objetivos de las organizaciones, no deja de ser un tema recurrente la inquietud por su seguridad. Los afectados, que frecuentemente no son tcnicos, se preguntan si estos sistemas merecen su confianza, confianza que se ve mermada por cada fallo y, sobre todo, cuando la inversin en defensa de los medios de trabajo no se traduce en la ausencia de fallos. Lo ideal es que los sistemas no fallen. Pero lo cierto es que se acepta convivir con sistemas que fallan. El asunto no es tanto la ausencia de incidentes como la confianza en que estn bajo control: se sabe qu puede pasar y se sabe qu hacer cuando pasa. El temor a lo desconocido es el principal origen de la desconfianza y, en consecuencia, aqu se busca conocer para confiar: conocer los riesgos para poder afrontarlos y controlarlos.