1. UNIVERSIDAD CENTROCCIDENTAL
“LISANDRO ALVARADO”
DECANATO DE CIENCIAS Y TECNOLOGÍA
COORDINACIÓN DE FOMENTO DEL DCYT
Modulo IV GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN
INTRODUCCIÓN AL PROCESO DE GESTIÓN DE RIESGOS
DE SEGURIDAD DE LA INFORMACIÓN
METODOLOGÍAS DE ANÁLISIS DE RIESGOS.
Participante
Abby Ramírez
2. Introducción
Las organizaciones hoy día, con la tecnología y complejidad en el manejo de la información, donde enfrentan diferentes
amenazas que explotan sus vulnerabilidades en el dominio de la confidencialidad, integridad, disponibilidad y el no repudio de la
información en la empresa, es primordial para el aumento de su competitividad el resguardo de estos dominios; por lo que están
obligadas, si desean continuar operando, a establecer SGSI que permitan identificar sus activos vitales de información, e
implantar los controles pertinentes. Por lo tanto, es importante establecer el proceso de análisis de riesgos para identificar los
activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de
ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para mitigar la ocurrencia del riesgo.
Aunado a ello, es fundamental conocer que el análisis de riesgo es crucial para el desarrollo y operación de un SGSI, ya que
justo en esta etapa es donde la organización debe construir su “modelo de seguridad”, que no es más que la representación de
todos sus activos y sus dependencias jerárquicas, así como, todo aquello que pudiera ocurrir (amenazas) y que tuviera un
impacto en la organización.
Teniendo como guía las normas de estandarización ISO (Organización Internacional de Estandarización) e IEC
(Comisión Electrotécnica Internacional) las cuales forman el sistema especializado para la estandarización mundial; entre estas
están la norma ISO/IEC 27005:2008, a continuación se presenta un cuadro comparativos acerca de las metodologías mas
empleadas en las organizaciones para el análisis y gestión de riesgo de un SGSI.
3. Comparación de las metodologías ISO/IEC 27005, MAGERIT, MEHARI, OCTAVE
METODOLOGIAS ISO/IEC 27005 MAGERIT MEHARI OCTAVE
Concepto Es el estándar internacional
que se ocupa de la gestión de
riesgos de seguridad de
información. La norma
suministra las directrices para
la gestión de riesgos de
seguridad de la información
en una empresa, apoyando
particularmente los requisitos
del sistema de gestión de
seguridad de la información
definidos en ISO 27001.
Esta metodología está
basada en el análisis y
gestión de riesgos y es de
carácter público elaborada
por el Consejo Superior de
Administración Electrónica
(CSAE) y publicada por el
ministerio de administración
pública de España (MAP)
encargado de la preparación,
elaboración, desarrollo y
aplicación de la política
informática del gobierno
español.
Es una metodología
desarrollada por el club
francés de la seguridad de la
información (Clusif) para
ayudar al CISO (Chief
information security
officers) la cual proporciona
un método de evaluación y
gestión de riesgos conforme a
los requerimientos de
ISO/IEC 27005:2008.
Esta metodología fue
diseñada para realizar un
análisis preciso de
situaciones de riesgos
usando la definición basada
en escenarios.
Metodología de análisis y
gestión del riesgo, define una
evaluación estratégica
basada en riesgos y la
planificación técnica de la
seguridad; es auto dirigido, es
decir, que las personas de
una organización asuman la
responsabilidad de establecer
la estrategia de seguridad de
la entidad. (Operationally
Critical Threat Asset and
Vulnerability Evaluation)
Modelo para la creación de
metodologías de análisis de
riesgos desarrollado por la
Universidad de Carnegie
Mellón.
Características
principales
- Conjunto de directrices para
la correcta realización de un
análisis de riesgos.
- Ha nacido claramente para
apoyar la tarea del análisis y
la gestión de riesgos en el
marco de un SGSI.
- Apoya los conceptos
generales especificados en la
norma ISO/IEC 27001:2005 y
está diseñada para ayudar a
la aplicación satisfactoria de
la seguridad de la información
basada en un enfoque de
gestión de riesgos.
- Concienciar a los
responsables de las
organizaciones de
información de la existencia
de riesgos y de la necesidad
de gestionarlos.
- Ofrecer un método
sistemático para analizar los
riesgos derivados del uso de
tecnologías de la información
y comunicaciones (TIC).
- Ayudar a descubrir y
planificar el tratamiento
oportuno para mantener los
riesgos bajo control
Indirectos.
- Preparar a la Organización
para procesos de evaluación,
auditoría, certificación o
acreditación, según
corresponda en cada caso
- Proporcionar un completo
conjunto de herramientas
específicamente diseñadas
para la gestión de la
seguridad a corteo, medio y
largo plazo, adaptable a
diferentes niveles de madurez
y tipos de acciones
consideradas.
- Permitir un análisis directo e
individual de situaciones de
riesgos descritas en los
escenarios.
- Modelo de riesgos
(Cualitativo y cuantitativo).
- Complemento obligatorios a
la norma ISO/IEC 27000 y
particularmente ISO/IEC
27005:2008.
- Construcciones de los
perfiles de amenazas
basados en activos.
- Identificación de la
infraestructura de
vulnerabilidad.
- Desarrollo de planes y
estrategias de seguridad.
4. METODOLOGÍAS ISO/IEC 27005 MAGERIT MEHARI OCTAVE
Fases del Método de
Análisis de Riesgo
- Alcance
- Normativas de referencia
- Términos y definiciones
- Estructura
- Antecedentes
- Visión del progreso de
gestión de riesgos de
seguridad de la información
- Establecimiento del contexto
- Evaluación de riesgos
- Tratamiento de riesgo
- Aceptación del riesgo
- Comunicación del riesgo
- Monitorización y revisión del
riesgo, todas esta
establecidas bajo unas
clausulas del estándar
internacional.
- Identificar activos: activos
relevantes, su interrelación y
valoración.
- Identificar amenazas.
- Determinar las
salvaguardas que hay
dispuestas y cuan eficaces
son frente al riesgo.
- Estimar el impacto: daño
sobre el activo derivado de la
materialización de la
amenaza.
- Estimar el riesgo: impacto
ponderado con la tasa de
ocurrencia de la amenaza.
- Establecimiento del
contexto (escenario).
- Tipología y lista de activos
principales.
- Análisis de activos: activos
de respaldo y
vulnerabilidades intrínsecas.
- Daños potenciales: lista de
posibles escenarios de
riesgos.
- Análisis de amenazas:
eventos de iniciación, actores,
condiciones específicas.
- Elementos de reducción
de riesgos: servicios de
seguridad relevantes,
beneficios de los servicios de
seguridad.
- Visión organizativa:
construcción de activos
basados en perfil de
amenazas.
- Visión tecnológica:
Identificar vulnerabilidades
tecnológicas.
- Desarrollo de las estrategias
del plan: Desarrollar planes y
estrategias de seguridad.
- Identificación análisis y
evaluación basándose en
criterios.
Ámbito de
Aplicación
Puede ser aplicada en
cualquier organización
pública o sociedades
mercantiles, administraciones
públicas, organizaciones no
lucrativas, agencias públicas,
ONGs o bien la entidad que
gestione un SGSI y proteger
todo lo que afecte la
seguridad de la información.
Que tengan la intención de
manejar los riesgos que
podrían comprometer la
seguridad de la información
de la organización.
Ámbito de aplicación:
Gobierno, Organismos,
compañías grandes, PYME,
compañías comerciales y no
comerciales.
Magerit ofrece un aplicación
para el análisis y gestión de
riesgos de un sistema de
información denominado
PILAR (Proceso informático
lógico para el análisis de
gestión de riesgos) Esta
herramienta es de uso
gratuito para la administración
española y de uso comercial
para las organizaciones
privadas.
Mehari ofrece una
herramienta de apoyo
llamada RISICARE de BUC
S.A.
La emplean los gobiernos,
organismos, compañías
grandes, PYME (pequeña y
mediana empresa),
compañías comerciales, sin
fines de lucro (educación,
salud, servicios públicos,
organismos NO
gubernamentales.
- Octave usa como
herramientas de apoyo o
aplicación a OCTAVE
Automated Tool.
- Aplica a PYME (pequeña y
mediana empresa)
5. Comparación de las metodologías ISO/IEC 27005, MAGERIT, MEHARI, OCTAVE
METODOLOGÍAS ISO/IEC 27005 MAGERIT MEHARI OCTAVE
Ventajas - Permite identificar las
necesidades de la
organización sobre los
requisitos de seguridad de
información.
- Ayuda a crear los SGSI
eficaz.
- Aborda los riesgos de
manera eficaz y oportuna,
donde y cuando sea
necesario.
- Es parte de integridad de
todas las actividades de
gestión de seguridad de la
información tanto para su
aplicación como para su
operación continua de un
SGSI.
- Es metódica por lo que se
hace fácil su comprensión.
Los activos se identifican
- Tipifican, se buscan sus
dependencias, se valoran en
cuanto a: disponibilidad,
confidencialidad, autenticidad,
integridad y trazabilidad.
- Comprende los procesos de
Análisis y gestión de riesgos.
Usa un modelo de análisis de
Riesgos cualitativo y
cuantitativo.
- Soporta herramientas
comerciales EAR y NO
comerciales PILAR, así como
las normas ISO/IEC
27001:2005, ISO/IEC
15408:2005, ISO/IEC
17799:2005
- Tiene la capacidad de
evaluar y simular los niveles
de riesgos derivados de
medidas adicionales.
- Soporta herramientas
comerciales y no comerciales
como RISICARE DE BUC
S.A.
- Es compatible con el
estándar ISO/IEC
27001:2005, ISO/IEC
27005:2008
- Usa un modelo de análisis
de riesgos cualitativo y
cuantitativo.
Es una metodología para la
gestión de riesgos.
- Cualquier metodología que
aplica los criterios (principio,
atributos y resultados) es
considerados compatible con
la metodología octave.
- Involucra todo el personal
de la entidad.
- Es la más completa, ya que
involucra como elementos de
su modelo de análisis:
procesos, activos y
dependencias, recursos,
vulnerabilidades, amenazas y
salvaguardas.
Desventajas No recomienda una
metodología concreta,
dependerá de una serie de
factores, como el alcance real
del Sistema de Gestión de
Seguridad de la Información
(SGSI), o el sector comercial
de la propia industria.
- No toma en cuenta el
principio de no repudio de la
información como objetivo de
seguridad.
- No toma en cuenta un
análisis de vulnerabilidades.
- La recomendación de los
controles no la incluye dentro
del análisis de riesgos sino en
la gestión y evaluación.
- Comprende como
elementos del modelo de
análisis sólo: activos y
dependencias,
vulnerabilidades y amenazas.
– La estimación del impacto
se realiza en el proceso de
gestión y evaluación de
riesgos.
- Solo toma en cuenta los
principios de confidencialidad,
integridad y disponibilidad de
la información como objetivos
de seguridad dejando a un
lado el no repudio.
- La estimación del impacto
se realiza en el proceso de
gestión y evaluación de
riesgos.
- La recomendación de los
controles no la incluye dentro
del análisis de riesgos sino en
la gestión de riesgos.
- Aplicable solo en PYME
8pequeña y mediana
empresa).
- No tiene compatibilidad con
estándares.
6. Conclusión
La seguridad de la información es un aspecto importante que debe ser revisada y evaluada continuamente. La
metodología para la gestión de riesgo puede ser orientada a diversos sectores porque permite ser adaptada instituciones de
servicios públicos, organizaciones, empresas públicas o privadas dado que se fundamenta en conceptos generales que
competen a cualquier tipo de organización. Esta metodología permite establecer el grado de capacitación del personal
responsable de la gestión de riesgos. El análisis de riesgo requiere de una evaluación que permitirá adoptar medidas para
enfrentar las posibles amenazas de los activos de información de la organización. Con esta metodología los responsables de la
seguridad de la información, sus dueños y quienes utilizan el activo, toman mayor conciencia de los activos más riesgosos, sus
vulnerabilidades y las amenazas a los que están expuestos, por lo que podrán tomar medidas proactivas más efectivas y
eficientes antes de que se pueda producir un incidente. Esta metodología disminuye el grado de subjetividad que rigen las
acciones en seguridad, ya que aporta precisión y confianza al valorar cuantitativamente de las amenazas y vulnerabilidades.
7. Comparación de las metodologías ISO/IEC 27005, MAGERIT, MEHARI, OCTAVE
Bibliografía
I. Normativas para la seguridad de la información como ISO/IEC 17799:2005 e ISO/IEC 27001:2005, las cuales facilitan el
análisis, diseño e implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI), e ISO/IEC 27001 que
permite certificación.
II. Magerit_V3_libro1_método.
III. ISO/IEC 27005:2008-
IV. ISO/IEC 27002:2005. (2005). Tecnología de la información-Técnicas de seguridad Código para la práctica de la gestión
de la seguridad de la información.
V. Dirección y gestión de los sistemas de información en la empresa
VI. Tecnología – UCLA. Tesis de maestría. Universidad Centroccidental Lisandro Alvarado. Barquisimeto Estado Lara.
VII. Royal, F. (1998). Seguridad en los sistemas informáticos. Ediciones Díaz de Santos, S.A. Madrid, España.