SlideShare una empresa de Scribd logo

Análisis comparativo

Abby Ramirez
Abby Ramirez

Cuadro comparati

Educación
1 de 7
Descargar para leer sin conexión
UNIVERSIDAD CENTROCCIDENTAL “LISANDRO ALVARADO” DECANATO DE CIENCIAS Y TECNOLOGÍA COORDINACIÓN DE FOMENTO DEL DCYT Modulo IV GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN INTRODUCCIÓN AL PROCESO DE GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN METODOLOGÍAS DE ANÁLISIS DE RIESGOS. Participante Abby Ramírez
Introducción Las organizaciones hoy día, con la tecnología y complejidad en el manejo de la información, donde enfrentan diferentes amenazas que explotan sus vulnerabilidades en el dominio de la confidencialidad, integridad, disponibilidad y el no repudio de la información en la empresa, es primordial para el aumento de su competitividad el resguardo de estos dominios; por lo que están obligadas, si desean continuar operando, a establecer SGSI que permitan identificar sus activos vitales de información, e implantar los controles pertinentes. Por lo tanto, es importante establecer el proceso de análisis de riesgos para identificar los activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para mitigar la ocurrencia del riesgo. Aunado a ello, es fundamental conocer que el análisis de riesgo es crucial para el desarrollo y operación de un SGSI, ya que justo en esta etapa es donde la organización debe construir su “modelo de seguridad”, que no es más que la representación de todos sus activos y sus dependencias jerárquicas, así como, todo aquello que pudiera ocurrir (amenazas) y que tuviera un impacto en la organización. Teniendo como guía las normas de estandarización ISO (Organización Internacional de Estandarización) e IEC (Comisión Electrotécnica Internacional) las cuales forman el sistema especializado para la estandarización mundial; entre estas están la norma ISO/IEC 27005:2008, a continuación se presenta un cuadro comparativos acerca de las metodologías mas empleadas en las organizaciones para el análisis y gestión de riesgo de un SGSI.
Comparación de las metodologías ISO/IEC 27005, MAGERIT, MEHARI, OCTAVE METODOLOGIAS ISO/IEC 27005 MAGERIT MEHARI OCTAVE Concepto Es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001. Esta metodología está basada en el análisis y gestión de riesgos y es de carácter público elaborada por el Consejo Superior de Administración Electrónica (CSAE) y publicada por el ministerio de administración pública de España (MAP) encargado de la preparación, elaboración, desarrollo y aplicación de la política informática del gobierno español. Es una metodología desarrollada por el club francés de la seguridad de la información (Clusif) para ayudar al CISO (Chief information security officers) la cual proporciona un método de evaluación y gestión de riesgos conforme a los requerimientos de ISO/IEC 27005:2008. Esta metodología fue diseñada para realizar un análisis preciso de situaciones de riesgos usando la definición basada en escenarios. Metodología de análisis y gestión del riesgo, define una evaluación estratégica basada en riesgos y la planificación técnica de la seguridad; es auto dirigido, es decir, que las personas de una organización asuman la responsabilidad de establecer la estrategia de seguridad de la entidad. (Operationally Critical Threat Asset and Vulnerability Evaluation) Modelo para la creación de metodologías de análisis de riesgos desarrollado por la Universidad de Carnegie Mellón. Características principales - Conjunto de directrices para la correcta realización de un análisis de riesgos. - Ha nacido claramente para apoyar la tarea del análisis y la gestión de riesgos en el marco de un SGSI. - Apoya los conceptos generales especificados en la norma ISO/IEC 27001:2005 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. - Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos. - Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC). - Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control Indirectos. - Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso - Proporcionar un completo conjunto de herramientas específicamente diseñadas para la gestión de la seguridad a corteo, medio y largo plazo, adaptable a diferentes niveles de madurez y tipos de acciones consideradas. - Permitir un análisis directo e individual de situaciones de riesgos descritas en los escenarios. - Modelo de riesgos (Cualitativo y cuantitativo). - Complemento obligatorios a la norma ISO/IEC 27000 y particularmente ISO/IEC 27005:2008. - Construcciones de los perfiles de amenazas basados en activos. - Identificación de la infraestructura de vulnerabilidad. - Desarrollo de planes y estrategias de seguridad.
METODOLOGÍAS ISO/IEC 27005 MAGERIT MEHARI OCTAVE Fases del Método de Análisis de Riesgo - Alcance - Normativas de referencia - Términos y definiciones - Estructura - Antecedentes - Visión del progreso de gestión de riesgos de seguridad de la información - Establecimiento del contexto - Evaluación de riesgos - Tratamiento de riesgo - Aceptación del riesgo - Comunicación del riesgo - Monitorización y revisión del riesgo, todas esta establecidas bajo unas clausulas del estándar internacional. - Identificar activos: activos relevantes, su interrelación y valoración. - Identificar amenazas. - Determinar las salvaguardas que hay dispuestas y cuan eficaces son frente al riesgo. - Estimar el impacto: daño sobre el activo derivado de la materialización de la amenaza. - Estimar el riesgo: impacto ponderado con la tasa de ocurrencia de la amenaza. - Establecimiento del contexto (escenario). - Tipología y lista de activos principales. - Análisis de activos: activos de respaldo y vulnerabilidades intrínsecas. - Daños potenciales: lista de posibles escenarios de riesgos. - Análisis de amenazas: eventos de iniciación, actores, condiciones específicas. - Elementos de reducción de riesgos: servicios de seguridad relevantes, beneficios de los servicios de seguridad. - Visión organizativa: construcción de activos basados en perfil de amenazas. - Visión tecnológica: Identificar vulnerabilidades tecnológicas. - Desarrollo de las estrategias del plan: Desarrollar planes y estrategias de seguridad. - Identificación análisis y evaluación basándose en criterios. Ámbito de Aplicación Puede ser aplicada en cualquier organización pública o sociedades mercantiles, administraciones públicas, organizaciones no lucrativas, agencias públicas, ONGs o bien la entidad que gestione un SGSI y proteger todo lo que afecte la seguridad de la información. Que tengan la intención de manejar los riesgos que podrían comprometer la seguridad de la información de la organización. Ámbito de aplicación: Gobierno, Organismos, compañías grandes, PYME, compañías comerciales y no comerciales. Magerit ofrece un aplicación para el análisis y gestión de riesgos de un sistema de información denominado PILAR (Proceso informático lógico para el análisis de gestión de riesgos) Esta herramienta es de uso gratuito para la administración española y de uso comercial para las organizaciones privadas. Mehari ofrece una herramienta de apoyo llamada RISICARE de BUC S.A. La emplean los gobiernos, organismos, compañías grandes, PYME (pequeña y mediana empresa), compañías comerciales, sin fines de lucro (educación, salud, servicios públicos, organismos NO gubernamentales. - Octave usa como herramientas de apoyo o aplicación a OCTAVE Automated Tool. - Aplica a PYME (pequeña y mediana empresa)
Comparación de las metodologías ISO/IEC 27005, MAGERIT, MEHARI, OCTAVE METODOLOGÍAS ISO/IEC 27005 MAGERIT MEHARI OCTAVE Ventajas - Permite identificar las necesidades de la organización sobre los requisitos de seguridad de información. - Ayuda a crear los SGSI eficaz. - Aborda los riesgos de manera eficaz y oportuna, donde y cuando sea necesario. - Es parte de integridad de todas las actividades de gestión de seguridad de la información tanto para su aplicación como para su operación continua de un SGSI. - Es metódica por lo que se hace fácil su comprensión. Los activos se identifican - Tipifican, se buscan sus dependencias, se valoran en cuanto a: disponibilidad, confidencialidad, autenticidad, integridad y trazabilidad. - Comprende los procesos de Análisis y gestión de riesgos. Usa un modelo de análisis de Riesgos cualitativo y cuantitativo. - Soporta herramientas comerciales EAR y NO comerciales PILAR, así como las normas ISO/IEC 27001:2005, ISO/IEC 15408:2005, ISO/IEC 17799:2005 - Tiene la capacidad de evaluar y simular los niveles de riesgos derivados de medidas adicionales. - Soporta herramientas comerciales y no comerciales como RISICARE DE BUC S.A. - Es compatible con el estándar ISO/IEC 27001:2005, ISO/IEC 27005:2008 - Usa un modelo de análisis de riesgos cualitativo y cuantitativo. Es una metodología para la gestión de riesgos. - Cualquier metodología que aplica los criterios (principio, atributos y resultados) es considerados compatible con la metodología octave. - Involucra todo el personal de la entidad. - Es la más completa, ya que involucra como elementos de su modelo de análisis: procesos, activos y dependencias, recursos, vulnerabilidades, amenazas y salvaguardas. Desventajas No recomienda una metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria. - No toma en cuenta el principio de no repudio de la información como objetivo de seguridad. - No toma en cuenta un análisis de vulnerabilidades. - La recomendación de los controles no la incluye dentro del análisis de riesgos sino en la gestión y evaluación. - Comprende como elementos del modelo de análisis sólo: activos y dependencias, vulnerabilidades y amenazas. – La estimación del impacto se realiza en el proceso de gestión y evaluación de riesgos. - Solo toma en cuenta los principios de confidencialidad, integridad y disponibilidad de la información como objetivos de seguridad dejando a un lado el no repudio. - La estimación del impacto se realiza en el proceso de gestión y evaluación de riesgos. - La recomendación de los controles no la incluye dentro del análisis de riesgos sino en la gestión de riesgos. - Aplicable solo en PYME 8pequeña y mediana empresa). - No tiene compatibilidad con estándares.
Conclusión La seguridad de la información es un aspecto importante que debe ser revisada y evaluada continuamente. La metodología para la gestión de riesgo puede ser orientada a diversos sectores porque permite ser adaptada instituciones de servicios públicos, organizaciones, empresas públicas o privadas dado que se fundamenta en conceptos generales que competen a cualquier tipo de organización. Esta metodología permite establecer el grado de capacitación del personal responsable de la gestión de riesgos. El análisis de riesgo requiere de una evaluación que permitirá adoptar medidas para enfrentar las posibles amenazas de los activos de información de la organización. Con esta metodología los responsables de la seguridad de la información, sus dueños y quienes utilizan el activo, toman mayor conciencia de los activos más riesgosos, sus vulnerabilidades y las amenazas a los que están expuestos, por lo que podrán tomar medidas proactivas más efectivas y eficientes antes de que se pueda producir un incidente. Esta metodología disminuye el grado de subjetividad que rigen las acciones en seguridad, ya que aporta precisión y confianza al valorar cuantitativamente de las amenazas y vulnerabilidades.
Comparación de las metodologías ISO/IEC 27005, MAGERIT, MEHARI, OCTAVE Bibliografía I. Normativas para la seguridad de la información como ISO/IEC 17799:2005 e ISO/IEC 27001:2005, las cuales facilitan el análisis, diseño e implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI), e ISO/IEC 27001 que permite certificación. II. Magerit_V3_libro1_método. III. ISO/IEC 27005:2008- IV. ISO/IEC 27002:2005. (2005). Tecnología de la información-Técnicas de seguridad Código para la práctica de la gestión de la seguridad de la información. V. Dirección y gestión de los sistemas de información en la empresa VI. Tecnología – UCLA. Tesis de maestría. Universidad Centroccidental Lisandro Alvarado. Barquisimeto Estado Lara. VII. Royal, F. (1998). Seguridad en los sistemas informáticos. Ediciones Díaz de Santos, S.A. Madrid, España.

Recomendados

Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
Maricarmen García de Ureña
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
Freddy Fernando Cajamarca Sarmiento
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Haroll Suarez
 
Magerit
MageritMagerit
Magerit
Krolina Agui
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Cecilia Hernandez
 
TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA) TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA)
TAR Security
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
Andres Soto Suarez
 

Recomendados

Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
Maricarmen García de Ureña
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
Freddy Fernando Cajamarca Sarmiento
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Haroll Suarez
 
Magerit
MageritMagerit
Magerit
Krolina Agui
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Cecilia Hernandez
 
TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA) TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA)
TAR Security
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
Andres Soto Suarez
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
PECB
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informática
morfouz
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octave
Andres Soto Suarez
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
UPTAEB
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informatica
Carlos Ledesma
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de Negocio
David Solis
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
Laura Miranda Dominguez
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
Eduardo Gonzalez
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
Leo Gomez
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
plackard
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUS
seguridadelinux
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informática
Natii Rossales Hidrobo
 
OWASP
OWASPOWASP
OWASP
Conferencias FIST
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001
Yesith Valencia
 
Controles iso27002 2013
Controles iso27002 2013Controles iso27002 2013
Controles iso27002 2013
lederzon
 
La Auditoría Física
La Auditoría FísicaLa Auditoría Física
La Auditoría Física
Carlos R. Adames B.
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datos
oamz
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
Isaias Rubina Miranda
 
Evento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la InformaciónEvento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la Información
J. Gustavo López
 
Gtc 45-personal
Gtc 45-personalGtc 45-personal
Gtc 45-personal
Kristhian Barragán
 
MÉTODO DE EVALUACIÓN DE RIESGOS
MÉTODO DE EVALUACIÓN DE RIESGOSMÉTODO DE EVALUACIÓN DE RIESGOS
MÉTODO DE EVALUACIÓN DE RIESGOS
ceima
 

Más contenido relacionado

La actualidad más candente

La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
PECB
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informática
morfouz
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
Leo Gomez
 
Controles iso27002 2013
Controles iso27002 2013Controles iso27002 2013
Controles iso27002 2013
lederzon
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datos
oamz
 

La actualidad más candente (20)

La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informática
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octave
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informatica
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de Negocio
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUS
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informática
 
OWASP
OWASPOWASP
OWASP
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001
 
Controles iso27002 2013
Controles iso27002 2013Controles iso27002 2013
Controles iso27002 2013
 
La Auditoría Física
La Auditoría FísicaLa Auditoría Física
La Auditoría Física
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datos
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
 
Evento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la InformaciónEvento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la Información
 

Destacado

Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012
xhagix
 
Proceso de administracion de estrategias
Proceso de administracion de estrategiasProceso de administracion de estrategias
Proceso de administracion de estrategias
alexander alticoru
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
simondavila
 
Informe sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategicoInforme sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategico
Juan Prudencio
 

Destacado (20)

Gtc 45-personal
Gtc 45-personalGtc 45-personal
Gtc 45-personal
 
MÉTODO DE EVALUACIÓN DE RIESGOS
MÉTODO DE EVALUACIÓN DE RIESGOSMÉTODO DE EVALUACIÓN DE RIESGOS
MÉTODO DE EVALUACIÓN DE RIESGOS
 
Por Que Nacen Las Empresas
Por Que Nacen Las EmpresasPor Que Nacen Las Empresas
Por Que Nacen Las Empresas
 
Tutorial 2 plagio
Tutorial 2 plagioTutorial 2 plagio
Tutorial 2 plagio
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVE
 
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓNDeclaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
 
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
 
Proyecto final grupo_102058_38
Proyecto final grupo_102058_38Proyecto final grupo_102058_38
Proyecto final grupo_102058_38
 
Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242
 
El entorno de la empresa
El entorno de la empresaEl entorno de la empresa
El entorno de la empresa
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012
 
Evaluación de Riesgo
Evaluación de Riesgo Evaluación de Riesgo
Evaluación de Riesgo
 
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAIDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
 
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
 
Proceso de administracion de estrategias
Proceso de administracion de estrategiasProceso de administracion de estrategias
Proceso de administracion de estrategias
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgos
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
 
Documento análisis vulnerabilidad
Documento análisis vulnerabilidadDocumento análisis vulnerabilidad
Documento análisis vulnerabilidad
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de Riesgos
 
Informe sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategicoInforme sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategico
 

Similar a Análisis comparativo

Curso SGSI_Ecuador_Junio 2014
Curso SGSI_Ecuador_Junio 2014Curso SGSI_Ecuador_Junio 2014
Curso SGSI_Ecuador_Junio 2014
Protiviti Peru
 
Curso - Taller SGSI_Perú 2014
Curso - Taller SGSI_Perú 2014Curso - Taller SGSI_Perú 2014
Curso - Taller SGSI_Perú 2014
Protiviti Peru
 
Brochure Curso SGSI Panamá 2014
Brochure Curso SGSI Panamá 2014Brochure Curso SGSI Panamá 2014
Brochure Curso SGSI Panamá 2014
Protiviti Peru
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
mar778
 
Dbfa1095 552b-47ef-9be8-3972de8845ba
Dbfa1095 552b-47ef-9be8-3972de8845baDbfa1095 552b-47ef-9be8-3972de8845ba
Dbfa1095 552b-47ef-9be8-3972de8845ba
JuxCR
 

Similar a Análisis comparativo (20)

Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la Información
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
Curso SGSI_Ecuador_Junio 2014
Curso SGSI_Ecuador_Junio 2014Curso SGSI_Ecuador_Junio 2014
Curso SGSI_Ecuador_Junio 2014
 
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdfPILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
 
Curso - Taller SGSI_Perú 2014
Curso - Taller SGSI_Perú 2014Curso - Taller SGSI_Perú 2014
Curso - Taller SGSI_Perú 2014
 
Brochure Curso SGSI Panamá 2014
Brochure Curso SGSI Panamá 2014Brochure Curso SGSI Panamá 2014
Brochure Curso SGSI Panamá 2014
 
Brochure Curso SGSI
Brochure Curso SGSIBrochure Curso SGSI
Brochure Curso SGSI
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
NORMAS ISO
NORMAS ISO NORMAS ISO
NORMAS ISO
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Dbfa1095 552b-47ef-9be8-3972de8845ba
Dbfa1095 552b-47ef-9be8-3972de8845baDbfa1095 552b-47ef-9be8-3972de8845ba
Dbfa1095 552b-47ef-9be8-3972de8845ba
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 

Último

ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
JAVIER SOLIS NOYOLA
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
El Fortí
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024
Juan Martín Martín
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
patriciaines1993
 
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptxRESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
pvtablets2023
 

Último (20)

Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
 
Revista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdfRevista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdf
 
TIENDAS MASS MINIMARKET ESTUDIO DE MERCADO
TIENDAS MASS MINIMARKET ESTUDIO DE MERCADOTIENDAS MASS MINIMARKET ESTUDIO DE MERCADO
TIENDAS MASS MINIMARKET ESTUDIO DE MERCADO
 
Análisis de los Factores Externos de la Organización.
Análisis de los Factores Externos de la Organización.Análisis de los Factores Externos de la Organización.
Análisis de los Factores Externos de la Organización.
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 
Supuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docxSupuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docx
 
FUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
FUERZA Y MOVIMIENTO ciencias cuarto basico.pptFUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
FUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
 
Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024
 
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronósticoSesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024
 
Power Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptxPower Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptx
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
 
EL HABITO DEL AHORRO en tu idea emprendedora22-04-24.pptx
EL HABITO DEL AHORRO en tu idea emprendedora22-04-24.pptxEL HABITO DEL AHORRO en tu idea emprendedora22-04-24.pptx
EL HABITO DEL AHORRO en tu idea emprendedora22-04-24.pptx
 
Biografía de Charles Coulomb física .pdf
Biografía de Charles Coulomb física .pdfBiografía de Charles Coulomb física .pdf
Biografía de Charles Coulomb física .pdf
 
Abril 2024 - Maestra Jardinera Ediba.pdf
Abril 2024 - Maestra Jardinera Ediba.pdfAbril 2024 - Maestra Jardinera Ediba.pdf
Abril 2024 - Maestra Jardinera Ediba.pdf
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
 
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdfFeliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
 
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptxRESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
 
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIASISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
 

Análisis comparativo

  • 1. UNIVERSIDAD CENTROCCIDENTAL “LISANDRO ALVARADO” DECANATO DE CIENCIAS Y TECNOLOGÍA COORDINACIÓN DE FOMENTO DEL DCYT Modulo IV GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN INTRODUCCIÓN AL PROCESO DE GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN METODOLOGÍAS DE ANÁLISIS DE RIESGOS. Participante Abby Ramírez
  • 2. Introducción Las organizaciones hoy día, con la tecnología y complejidad en el manejo de la información, donde enfrentan diferentes amenazas que explotan sus vulnerabilidades en el dominio de la confidencialidad, integridad, disponibilidad y el no repudio de la información en la empresa, es primordial para el aumento de su competitividad el resguardo de estos dominios; por lo que están obligadas, si desean continuar operando, a establecer SGSI que permitan identificar sus activos vitales de información, e implantar los controles pertinentes. Por lo tanto, es importante establecer el proceso de análisis de riesgos para identificar los activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para mitigar la ocurrencia del riesgo. Aunado a ello, es fundamental conocer que el análisis de riesgo es crucial para el desarrollo y operación de un SGSI, ya que justo en esta etapa es donde la organización debe construir su “modelo de seguridad”, que no es más que la representación de todos sus activos y sus dependencias jerárquicas, así como, todo aquello que pudiera ocurrir (amenazas) y que tuviera un impacto en la organización. Teniendo como guía las normas de estandarización ISO (Organización Internacional de Estandarización) e IEC (Comisión Electrotécnica Internacional) las cuales forman el sistema especializado para la estandarización mundial; entre estas están la norma ISO/IEC 27005:2008, a continuación se presenta un cuadro comparativos acerca de las metodologías mas empleadas en las organizaciones para el análisis y gestión de riesgo de un SGSI.
  • 3. Comparación de las metodologías ISO/IEC 27005, MAGERIT, MEHARI, OCTAVE METODOLOGIAS ISO/IEC 27005 MAGERIT MEHARI OCTAVE Concepto Es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001. Esta metodología está basada en el análisis y gestión de riesgos y es de carácter público elaborada por el Consejo Superior de Administración Electrónica (CSAE) y publicada por el ministerio de administración pública de España (MAP) encargado de la preparación, elaboración, desarrollo y aplicación de la política informática del gobierno español. Es una metodología desarrollada por el club francés de la seguridad de la información (Clusif) para ayudar al CISO (Chief information security officers) la cual proporciona un método de evaluación y gestión de riesgos conforme a los requerimientos de ISO/IEC 27005:2008. Esta metodología fue diseñada para realizar un análisis preciso de situaciones de riesgos usando la definición basada en escenarios. Metodología de análisis y gestión del riesgo, define una evaluación estratégica basada en riesgos y la planificación técnica de la seguridad; es auto dirigido, es decir, que las personas de una organización asuman la responsabilidad de establecer la estrategia de seguridad de la entidad. (Operationally Critical Threat Asset and Vulnerability Evaluation) Modelo para la creación de metodologías de análisis de riesgos desarrollado por la Universidad de Carnegie Mellón. Características principales - Conjunto de directrices para la correcta realización de un análisis de riesgos. - Ha nacido claramente para apoyar la tarea del análisis y la gestión de riesgos en el marco de un SGSI. - Apoya los conceptos generales especificados en la norma ISO/IEC 27001:2005 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. - Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos. - Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC). - Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control Indirectos. - Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso - Proporcionar un completo conjunto de herramientas específicamente diseñadas para la gestión de la seguridad a corteo, medio y largo plazo, adaptable a diferentes niveles de madurez y tipos de acciones consideradas. - Permitir un análisis directo e individual de situaciones de riesgos descritas en los escenarios. - Modelo de riesgos (Cualitativo y cuantitativo). - Complemento obligatorios a la norma ISO/IEC 27000 y particularmente ISO/IEC 27005:2008. - Construcciones de los perfiles de amenazas basados en activos. - Identificación de la infraestructura de vulnerabilidad. - Desarrollo de planes y estrategias de seguridad.
  • 4. METODOLOGÍAS ISO/IEC 27005 MAGERIT MEHARI OCTAVE Fases del Método de Análisis de Riesgo - Alcance - Normativas de referencia - Términos y definiciones - Estructura - Antecedentes - Visión del progreso de gestión de riesgos de seguridad de la información - Establecimiento del contexto - Evaluación de riesgos - Tratamiento de riesgo - Aceptación del riesgo - Comunicación del riesgo - Monitorización y revisión del riesgo, todas esta establecidas bajo unas clausulas del estándar internacional. - Identificar activos: activos relevantes, su interrelación y valoración. - Identificar amenazas. - Determinar las salvaguardas que hay dispuestas y cuan eficaces son frente al riesgo. - Estimar el impacto: daño sobre el activo derivado de la materialización de la amenaza. - Estimar el riesgo: impacto ponderado con la tasa de ocurrencia de la amenaza. - Establecimiento del contexto (escenario). - Tipología y lista de activos principales. - Análisis de activos: activos de respaldo y vulnerabilidades intrínsecas. - Daños potenciales: lista de posibles escenarios de riesgos. - Análisis de amenazas: eventos de iniciación, actores, condiciones específicas. - Elementos de reducción de riesgos: servicios de seguridad relevantes, beneficios de los servicios de seguridad. - Visión organizativa: construcción de activos basados en perfil de amenazas. - Visión tecnológica: Identificar vulnerabilidades tecnológicas. - Desarrollo de las estrategias del plan: Desarrollar planes y estrategias de seguridad. - Identificación análisis y evaluación basándose en criterios. Ámbito de Aplicación Puede ser aplicada en cualquier organización pública o sociedades mercantiles, administraciones públicas, organizaciones no lucrativas, agencias públicas, ONGs o bien la entidad que gestione un SGSI y proteger todo lo que afecte la seguridad de la información. Que tengan la intención de manejar los riesgos que podrían comprometer la seguridad de la información de la organización. Ámbito de aplicación: Gobierno, Organismos, compañías grandes, PYME, compañías comerciales y no comerciales. Magerit ofrece un aplicación para el análisis y gestión de riesgos de un sistema de información denominado PILAR (Proceso informático lógico para el análisis de gestión de riesgos) Esta herramienta es de uso gratuito para la administración española y de uso comercial para las organizaciones privadas. Mehari ofrece una herramienta de apoyo llamada RISICARE de BUC S.A. La emplean los gobiernos, organismos, compañías grandes, PYME (pequeña y mediana empresa), compañías comerciales, sin fines de lucro (educación, salud, servicios públicos, organismos NO gubernamentales. - Octave usa como herramientas de apoyo o aplicación a OCTAVE Automated Tool. - Aplica a PYME (pequeña y mediana empresa)
  • 5. Comparación de las metodologías ISO/IEC 27005, MAGERIT, MEHARI, OCTAVE METODOLOGÍAS ISO/IEC 27005 MAGERIT MEHARI OCTAVE Ventajas - Permite identificar las necesidades de la organización sobre los requisitos de seguridad de información. - Ayuda a crear los SGSI eficaz. - Aborda los riesgos de manera eficaz y oportuna, donde y cuando sea necesario. - Es parte de integridad de todas las actividades de gestión de seguridad de la información tanto para su aplicación como para su operación continua de un SGSI. - Es metódica por lo que se hace fácil su comprensión. Los activos se identifican - Tipifican, se buscan sus dependencias, se valoran en cuanto a: disponibilidad, confidencialidad, autenticidad, integridad y trazabilidad. - Comprende los procesos de Análisis y gestión de riesgos. Usa un modelo de análisis de Riesgos cualitativo y cuantitativo. - Soporta herramientas comerciales EAR y NO comerciales PILAR, así como las normas ISO/IEC 27001:2005, ISO/IEC 15408:2005, ISO/IEC 17799:2005 - Tiene la capacidad de evaluar y simular los niveles de riesgos derivados de medidas adicionales. - Soporta herramientas comerciales y no comerciales como RISICARE DE BUC S.A. - Es compatible con el estándar ISO/IEC 27001:2005, ISO/IEC 27005:2008 - Usa un modelo de análisis de riesgos cualitativo y cuantitativo. Es una metodología para la gestión de riesgos. - Cualquier metodología que aplica los criterios (principio, atributos y resultados) es considerados compatible con la metodología octave. - Involucra todo el personal de la entidad. - Es la más completa, ya que involucra como elementos de su modelo de análisis: procesos, activos y dependencias, recursos, vulnerabilidades, amenazas y salvaguardas. Desventajas No recomienda una metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria. - No toma en cuenta el principio de no repudio de la información como objetivo de seguridad. - No toma en cuenta un análisis de vulnerabilidades. - La recomendación de los controles no la incluye dentro del análisis de riesgos sino en la gestión y evaluación. - Comprende como elementos del modelo de análisis sólo: activos y dependencias, vulnerabilidades y amenazas. – La estimación del impacto se realiza en el proceso de gestión y evaluación de riesgos. - Solo toma en cuenta los principios de confidencialidad, integridad y disponibilidad de la información como objetivos de seguridad dejando a un lado el no repudio. - La estimación del impacto se realiza en el proceso de gestión y evaluación de riesgos. - La recomendación de los controles no la incluye dentro del análisis de riesgos sino en la gestión de riesgos. - Aplicable solo en PYME 8pequeña y mediana empresa). - No tiene compatibilidad con estándares.
  • 6. Conclusión La seguridad de la información es un aspecto importante que debe ser revisada y evaluada continuamente. La metodología para la gestión de riesgo puede ser orientada a diversos sectores porque permite ser adaptada instituciones de servicios públicos, organizaciones, empresas públicas o privadas dado que se fundamenta en conceptos generales que competen a cualquier tipo de organización. Esta metodología permite establecer el grado de capacitación del personal responsable de la gestión de riesgos. El análisis de riesgo requiere de una evaluación que permitirá adoptar medidas para enfrentar las posibles amenazas de los activos de información de la organización. Con esta metodología los responsables de la seguridad de la información, sus dueños y quienes utilizan el activo, toman mayor conciencia de los activos más riesgosos, sus vulnerabilidades y las amenazas a los que están expuestos, por lo que podrán tomar medidas proactivas más efectivas y eficientes antes de que se pueda producir un incidente. Esta metodología disminuye el grado de subjetividad que rigen las acciones en seguridad, ya que aporta precisión y confianza al valorar cuantitativamente de las amenazas y vulnerabilidades.
  • 7. Comparación de las metodologías ISO/IEC 27005, MAGERIT, MEHARI, OCTAVE Bibliografía I. Normativas para la seguridad de la información como ISO/IEC 17799:2005 e ISO/IEC 27001:2005, las cuales facilitan el análisis, diseño e implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI), e ISO/IEC 27001 que permite certificación. II. Magerit_V3_libro1_método. III. ISO/IEC 27005:2008- IV. ISO/IEC 27002:2005. (2005). Tecnología de la información-Técnicas de seguridad Código para la práctica de la gestión de la seguridad de la información. V. Dirección y gestión de los sistemas de información en la empresa VI. Tecnología – UCLA. Tesis de maestría. Universidad Centroccidental Lisandro Alvarado. Barquisimeto Estado Lara. VII. Royal, F. (1998). Seguridad en los sistemas informáticos. Ediciones Díaz de Santos, S.A. Madrid, España.