YAMEL DE JESUS

JOSE LUIS ALVAREZ

IVAN LUQUEZ
DUBIS BERKELEY PEREZ
MEHARI
 MEHARI
Method for Harmonized Analysis of Risk
“Metodología de Análisis de Riesgo Armonizado”
 ¿QUE ES MEHARI?
• Es una metodología de gestión del riesgo notable por el hecho de que realiza un análisis de
los riesgos de manera directa e individual.

• El principal objetivo de ésta, es proporcionar la evaluación y gestión del riesgo en el

dominio de la Seguridad de la Información .

• Fue desarrollada por una organización de seguridad sin ánimo de lucro, CLUSIF

• Ayuda a los CISO (Chief Information Security Officers) en las actividades de la seguridad de
la información.
 ENFOQUE DEL MEHARI
Existen dos enfoques para la gestión de los riesgos :

• Enfoque directo e individual para la gestión del riesgo

 ENFOQUE DEL MEHARI
Existen dos enfoques para la gestión de los riesgos :

• Enfoque general de gestión del riesgo

VENTAJAS Y DESVENTAJAS DE TIPOS DE ENFOQUE
PARA LA GESTION DE RIESGO
 Enfoque directa e individual gestión del
riesgo
Ventajas:
• Identificación y análisis de todas las
situaciones de riesgos.
• Evaluación precisa del nivel de riesgos por
cada situación de riesgo.
• Precisa evaluación de los efectos de las
medidas de seguridad sobre el nivel de
riesgo por cada situación de riesgo.
Desventajas:
• Requiere un completo modelo de la
presentación de todos los riesgos.
• Requiere que casa situación de riesgo sea
presentada en toda su complejidad.
 Enfoque Global e indirecta gestión del
riesgo
Ventajas:
• Presentación simple del riesgo.
• Fácil de entender el concepto.
• Fácil comunicación de los riesgos.
• Facilidad de Vincular el riesgo a la medida
para el control.
Desventajas:
• Abierto para ignorar graves situaciones
de riesgo.
• Carencia de Valoración de la gravedad del
nivel del riesgo.
• Sobrecosto o sub-evaluación en el
tratamiento del riesgo.
 ESTRUCTURA DE MEHARI

La estructura de gestión del riesgo

de MEHARI, se compone por 3
procesos:

• Valoración del Riesgo

• Tratamiento del Riesgo.
• Gestión del Riesgo.
 VALORACION DE RIESGO

Consiste en un análisis tan exhaustivo como sea posible de todas la situaciones de

riesgo a los que está expuesta una organización y evaluar si cada riesgo será aceptado
o no.

Los tres pasos que constituyen todo el proceso de valoración del riesgo son:

• Identificación del riesgo.

• Estimación del riesgo.
• Evaluación del riesgo
IDENTIFIACION DEL RIESGO

La identificación del riesgo no es solamente la identificación

de las situaciones de riesgo, sino que también la
caracterización de cada riesgo en detalle, esto es, sus
diferentes factores que hacen que el riesgo exista con el fin
de ver cuán grave es cada riesgo.

Mehari realiza una descripción de los activos de informacion

y los clasifica en tres categoría que son:

• Servicios
• Datos necesarios para la funcion de los servicios
• Gestión de procesos
IDENTIFIACION DEL RIESGO

el proceso de la definición de activos, la

identificación de las vulnerabilidades por cada
uno de los activos y los eventos que originan
las amenazas.

La descripción de cada uno de los riesgos y sus

vulnerabilidades asociadas ayudan a la
creación de los escenarios de riesgos para la
valoración.
 ESTIMACION DEL RIESGO

Es identificar qué tan grave es cada uno de los riesgos

identificados previamente, teniendo en cuenta las
diferentes medidas de seguridad implementadas.

Frecuentemente el riesgo se mide basado en dos parámetros conocidos como el impacto, que significa el nivel de
gravedad de las consecuencias y la probabilidad de ocurrencia del riesgo. es preferible usar un enfoque más analítico
que desglose estos parámetros en múltiples niveles y evaluarlos individualmente:

• El impacto es esencial excluyendo todas las medidas de seguridad.

• La probabilidad interna excluyendo todas las medidas de seguridad.
• El efecto de las medidas de seguridad sobre estos dos parámetros.
 EVALUACIÓN DEL RIESGO

En este paso de la evaluación se decide si la situación de

riesgo es aceptable por la organización o no. Las tres
categorías en las que el riesgo puede ser definido es:

• Riesgo intolerable

• Riesgo inadmisible

• Riesgo aceptable
 TRATAMIENTO DEL RIESGO

Hay diferentes opciones que están disponibles para tratar los riesgos una vez han sido identificados, listados y
evaluados . A continuación se describen las opciones para tratar el riesgo según la metodología MEHARI.

• Retener(aceptar) el riesgo
• Reducir el riesgo
• Transferir el riesgo
• Envitar el riesgo
 GESTION DEL RIESGO

Contempla todo el proceso que facilita la

implementación de las decisiones previas hechas
concernientes al tratamiento del riesgo,
monitoreando los efectos de esas decisiones y
mejorándolos si es necesario.

La gestión de riesgo se descomponen por los

siguientes procesos:

• Plan de acción

• Implementación del plan de acción

• Monitoreo y revisión
 CONCLUSIÓN
• Es importante establecer una metodología de análisis de riesgo dentro los SGSI
(Sistema de Gestión de la Seguridad de la Informacion) lo que permitirá dar a conocer
las debilidades y Fortalezas con que cuenta una organización.

• Con esta metodología (MEHARI) se logrará identificar y valorar los procesos más
críticos del negocio, con el propósito de evaluar el nivel de protección adecuado,
determinar y evaluar las amenazas y su grado de efectividad.

• De tal forma, que la organización conozca con detalle la probabilidad de las amenazas y
el impacto que estas pueden ocasionar.