Introducción
A continuación se presenta el análisis de las tres metodologías mas usadas, con el fin de determinar en forma detallada sobre como es su funcionamiento y cuáles son sus fortalezas y debilidades. Las metodologías estudiadas para al análisis de los riesgos informáticos son Magerit, Octave y Mehari.
Las tres metodologías estudiadas tienen por objetivo los siguientes puntos:
- Planificación de la reducción de riesgos
- Planificación de la prevención de accidentes
- Visualización y detección de las debilidades existentes en los sistemas
- Ayuda en la toma de las mejores decisiones en materia de seguridad de la información
Enfoques del análisis de riesgos
Existe una serie de diferentes enfoques para realizar el análisis de riesgos pero, en esencia, suelen dividirse en dos tipos fundamentales:
- cuantitativos
- cualitativos
Descripción de la metodología básica
- Caracterización del sistema
- Identificación de amenazas
- Identificación de vulnerabilidades
- Análisis de controles
- Determinación de la probabilidad de ocurrencia
- Análisis de impacto
- Determinación del riesgo
- Recomendaciones de control
- Documentación de resultados
Análisis funcional de las metodologías Magerit, Octave y Mehari
Metodología Margerit
Análisis funcional
- Análisis de Riesgos
- Gestión de Riesgos
Principales elementos
- Escalas de valores cualitativos, cuantitativos y de indisponibilidad del servicio.
- Modelo de frecuencia de una amenaza como una tasa anual de ocurrencia.
- Escala alternativa de estimación del riesgo.
- Catálogos de amenazas
- Catálogos de medidas de control
Margerit
Integra herramientas (como críticos de evaluación y formulas) y bases de datos de conocimiento (en particular para el diagnóstico de las medidas de seguridad), que son un complemento esencial al marco mínimo propuesto por la ISO/IEC 27005.
El enfoque principal de Margerit se basa en una base de datos de conocimiento y en procedimientos automatizados para la evaluación de los factores que caracterizan cada uno de los riesgos, y que permite evaluar su nivel. Además, el método proporciona asistencia para la selección de los planes de tratamiento adecuados.
Metodología Octave
Análisis funcional
- Construcción de los Perfiles de Amenazas Basados en Activos
- Identificación de la Infraestructura de Vulnerabilidades
- Desarrollo de Planes y Estrategias de Seguridad
Principales elementos
- Medidas de probabilidad considerando un rango de frecuencias.
- Análisis del límite entre niveles de probabilidad.
Octave utiliza un enfoque de tres fases para examinar las cuestiones de organización y tecnología, el montaje de una visión global de las necesidades de seguridad de la información de la organización. Consiste en una serie de talleres, ya sea facilitado o llevado a cabo por un equipo de análisis interdisciplinario de tres a cinco de personal propio de la organización.
Metodología Mehari
Análisis funcional
- Diagnóstico de Seguridad
- Análisis de los Intereses Implicados por la Seguridad
- Análisis de Riesgos
Principales elementos
- Niveles de categorías de controles
- Niveles de calidad de los servicios de seguridad
- Evaluación de la calidad del servicio por medio de cuestionarios
- Tabla modelo de impactos
Magerit es una metodología de Análisis y Gestión de Riesgos de los Sistemas de Información elaborada por el Consejo Superior de Administración Electrónica de España para minimizar los riesgos de la implantación y uso de las Tecnologías de la Información, enfocada a las Administraciones Públicas.
No hay comentarios.:
Publicar un comentario
Nota: sólo los miembros de este blog pueden publicar comentarios.