Descargado 247 veces
Subido porAbby Ramirez
Análisis comparativo
Este documento compara cuatro metodologías para el análisis de riesgos de seguridad de la información: ISO/IEC 27005, MAGERIT, MEHARI y OCTAVE. Explica los conceptos, características, fases, ámbitos de aplicación, ventajas y desventajas de cada metodología. Concluye que el análisis de riesgos es importante para evaluar las amenazas a los activos de información de una organización y adoptar medidas que enfrenten esos riesgos, aumentando la conciencia sobre la segur
Más contenido relacionado
La actualidad más candente
![Sesión 2 [Módulo 1] ingenieria siste.pdf](https://cdn.slidesharecdn.com/ss_thumbnails/sesin2mdulo1-250906130919-edbb59b4-thumbnail.jpg?width=640&height=640&fit=bounds)
Análisis comparativo
- 1. UNIVERSIDAD CENTROCCIDENTAL “LISANDRO ALVARADO” DECANATODE CIENCIAS Y TECNOLOGÍA COORDINACIÓN DE FOMENTO DEL DCYT Modulo IV GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN INTRODUCCIÓN AL PROCESO DE GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN METODOLOGÍAS DE ANÁLISIS DE RIESGOS. Participante Abby Ramírez
- 2. Introducción Las organizaciones hoydía, con la tecnología y complejidad en el manejo de la información, donde enfrentan diferentes amenazas que explotan sus vulnerabilidades en el dominio de la confidencialidad, integridad, disponibilidad y el no repudio de la información en la empresa, es primordial para el aumento de su competitividad el resguardo de estos dominios; por lo que están obligadas, si desean continuar operando, a establecer SGSI que permitan identificar sus activos vitales de información, e implantar los controles pertinentes. Por lo tanto, es importante establecer el proceso de análisis de riesgos para identificar los activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para mitigar la ocurrencia del riesgo. Aunado a ello, es fundamental conocer que el análisis de riesgo es crucial para el desarrollo y operación de un SGSI, ya que justo en esta etapa es donde la organización debe construir su “modelo de seguridad”, que no es más que la representación de todos sus activos y sus dependencias jerárquicas, así como, todo aquello que pudiera ocurrir (amenazas) y que tuviera un impacto en la organización. Teniendo como guía las normas de estandarización ISO (Organización Internacional de Estandarización) e IEC (Comisión Electrotécnica Internacional) las cuales forman el sistema especializado para la estandarización mundial; entre estas están la norma ISO/IEC 27005:2008, a continuación se presenta un cuadro comparativos acerca de las metodologías mas empleadas en las organizaciones para el análisis y gestión de riesgo de un SGSI.
- 3. Comparación de lasmetodologías ISO/IEC 27005, MAGERIT, MEHARI, OCTAVE METODOLOGIAS ISO/IEC 27005 MAGERIT MEHARI OCTAVE Concepto Es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001. Esta metodología está basada en el análisis y gestión de riesgos y es de carácter público elaborada por el Consejo Superior de Administración Electrónica (CSAE) y publicada por el ministerio de administración pública de España (MAP) encargado de la preparación, elaboración, desarrollo y aplicación de la política informática del gobierno español. Es una metodología desarrollada por el club francés de la seguridad de la información (Clusif) para ayudar al CISO (Chief information security officers) la cual proporciona un método de evaluación y gestión de riesgos conforme a los requerimientos de ISO/IEC 27005:2008. Esta metodología fue diseñada para realizar un análisis preciso de situaciones de riesgos usando la definición basada en escenarios. Metodología de análisis y gestión del riesgo, define una evaluación estratégica basada en riesgos y la planificación técnica de la seguridad; es auto dirigido, es decir, que las personas de una organización asuman la responsabilidad de establecer la estrategia de seguridad de la entidad. (Operationally Critical Threat Asset and Vulnerability Evaluation) Modelo para la creación de metodologías de análisis de riesgos desarrollado por la Universidad de Carnegie Mellón. Características principales - Conjunto de directrices para la correcta realización de un análisis de riesgos. - Ha nacido claramente para apoyar la tarea del análisis y la gestión de riesgos en el marco de un SGSI. - Apoya los conceptos generales especificados en la norma ISO/IEC 27001:2005 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. - Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos. - Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC). - Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control Indirectos. - Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso - Proporcionar un completo conjunto de herramientas específicamente diseñadas para la gestión de la seguridad a corteo, medio y largo plazo, adaptable a diferentes niveles de madurez y tipos de acciones consideradas. - Permitir un análisis directo e individual de situaciones de riesgos descritas en los escenarios. - Modelo de riesgos (Cualitativo y cuantitativo). - Complemento obligatorios a la norma ISO/IEC 27000 y particularmente ISO/IEC 27005:2008. - Construcciones de los perfiles de amenazas basados en activos. - Identificación de la infraestructura de vulnerabilidad. - Desarrollo de planes y estrategias de seguridad.
- 4. METODOLOGÍAS ISO/IEC 27005MAGERIT MEHARI OCTAVE Fases del Método de Análisis de Riesgo - Alcance - Normativas de referencia - Términos y definiciones - Estructura - Antecedentes - Visión del progreso de gestión de riesgos de seguridad de la información - Establecimiento del contexto - Evaluación de riesgos - Tratamiento de riesgo - Aceptación del riesgo - Comunicación del riesgo - Monitorización y revisión del riesgo, todas esta establecidas bajo unas clausulas del estándar internacional. - Identificar activos: activos relevantes, su interrelación y valoración. - Identificar amenazas. - Determinar las salvaguardas que hay dispuestas y cuan eficaces son frente al riesgo. - Estimar el impacto: daño sobre el activo derivado de la materialización de la amenaza. - Estimar el riesgo: impacto ponderado con la tasa de ocurrencia de la amenaza. - Establecimiento del contexto (escenario). - Tipología y lista de activos principales. - Análisis de activos: activos de respaldo y vulnerabilidades intrínsecas. - Daños potenciales: lista de posibles escenarios de riesgos. - Análisis de amenazas: eventos de iniciación, actores, condiciones específicas. - Elementos de reducción de riesgos: servicios de seguridad relevantes, beneficios de los servicios de seguridad. - Visión organizativa: construcción de activos basados en perfil de amenazas. - Visión tecnológica: Identificar vulnerabilidades tecnológicas. - Desarrollo de las estrategias del plan: Desarrollar planes y estrategias de seguridad. - Identificación análisis y evaluación basándose en criterios. Ámbito de Aplicación Puede ser aplicada en cualquier organización pública o sociedades mercantiles, administraciones públicas, organizaciones no lucrativas, agencias públicas, ONGs o bien la entidad que gestione un SGSI y proteger todo lo que afecte la seguridad de la información. Que tengan la intención de manejar los riesgos que podrían comprometer la seguridad de la información de la organización. Ámbito de aplicación: Gobierno, Organismos, compañías grandes, PYME, compañías comerciales y no comerciales. Magerit ofrece un aplicación para el análisis y gestión de riesgos de un sistema de información denominado PILAR (Proceso informático lógico para el análisis de gestión de riesgos) Esta herramienta es de uso gratuito para la administración española y de uso comercial para las organizaciones privadas. Mehari ofrece una herramienta de apoyo llamada RISICARE de BUC S.A. La emplean los gobiernos, organismos, compañías grandes, PYME (pequeña y mediana empresa), compañías comerciales, sin fines de lucro (educación, salud, servicios públicos, organismos NO gubernamentales. - Octave usa como herramientas de apoyo o aplicación a OCTAVE Automated Tool. - Aplica a PYME (pequeña y mediana empresa)
- 5. Comparación de lasmetodologías ISO/IEC 27005, MAGERIT, MEHARI, OCTAVE METODOLOGÍAS ISO/IEC 27005 MAGERIT MEHARI OCTAVE Ventajas - Permite identificar las necesidades de la organización sobre los requisitos de seguridad de información. - Ayuda a crear los SGSI eficaz. - Aborda los riesgos de manera eficaz y oportuna, donde y cuando sea necesario. - Es parte de integridad de todas las actividades de gestión de seguridad de la información tanto para su aplicación como para su operación continua de un SGSI. - Es metódica por lo que se hace fácil su comprensión. Los activos se identifican - Tipifican, se buscan sus dependencias, se valoran en cuanto a: disponibilidad, confidencialidad, autenticidad, integridad y trazabilidad. - Comprende los procesos de Análisis y gestión de riesgos. Usa un modelo de análisis de Riesgos cualitativo y cuantitativo. - Soporta herramientas comerciales EAR y NO comerciales PILAR, así como las normas ISO/IEC 27001:2005, ISO/IEC 15408:2005, ISO/IEC 17799:2005 - Tiene la capacidad de evaluar y simular los niveles de riesgos derivados de medidas adicionales. - Soporta herramientas comerciales y no comerciales como RISICARE DE BUC S.A. - Es compatible con el estándar ISO/IEC 27001:2005, ISO/IEC 27005:2008 - Usa un modelo de análisis de riesgos cualitativo y cuantitativo. Es una metodología para la gestión de riesgos. - Cualquier metodología que aplica los criterios (principio, atributos y resultados) es considerados compatible con la metodología octave. - Involucra todo el personal de la entidad. - Es la más completa, ya que involucra como elementos de su modelo de análisis: procesos, activos y dependencias, recursos, vulnerabilidades, amenazas y salvaguardas. Desventajas No recomienda una metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria. - No toma en cuenta el principio de no repudio de la información como objetivo de seguridad. - No toma en cuenta un análisis de vulnerabilidades. - La recomendación de los controles no la incluye dentro del análisis de riesgos sino en la gestión y evaluación. - Comprende como elementos del modelo de análisis sólo: activos y dependencias, vulnerabilidades y amenazas. – La estimación del impacto se realiza en el proceso de gestión y evaluación de riesgos. - Solo toma en cuenta los principios de confidencialidad, integridad y disponibilidad de la información como objetivos de seguridad dejando a un lado el no repudio. - La estimación del impacto se realiza en el proceso de gestión y evaluación de riesgos. - La recomendación de los controles no la incluye dentro del análisis de riesgos sino en la gestión de riesgos. - Aplicable solo en PYME 8pequeña y mediana empresa). - No tiene compatibilidad con estándares.
- 6. Conclusión La seguridad dela información es un aspecto importante que debe ser revisada y evaluada continuamente. La metodología para la gestión de riesgo puede ser orientada a diversos sectores porque permite ser adaptada instituciones de servicios públicos, organizaciones, empresas públicas o privadas dado que se fundamenta en conceptos generales que competen a cualquier tipo de organización. Esta metodología permite establecer el grado de capacitación del personal responsable de la gestión de riesgos. El análisis de riesgo requiere de una evaluación que permitirá adoptar medidas para enfrentar las posibles amenazas de los activos de información de la organización. Con esta metodología los responsables de la seguridad de la información, sus dueños y quienes utilizan el activo, toman mayor conciencia de los activos más riesgosos, sus vulnerabilidades y las amenazas a los que están expuestos, por lo que podrán tomar medidas proactivas más efectivas y eficientes antes de que se pueda producir un incidente. Esta metodología disminuye el grado de subjetividad que rigen las acciones en seguridad, ya que aporta precisión y confianza al valorar cuantitativamente de las amenazas y vulnerabilidades.
- 7. Comparación de lasmetodologías ISO/IEC 27005, MAGERIT, MEHARI, OCTAVE Bibliografía I. Normativas para la seguridad de la información como ISO/IEC 17799:2005 e ISO/IEC 27001:2005, las cuales facilitan el análisis, diseño e implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI), e ISO/IEC 27001 que permite certificación. II. Magerit_V3_libro1_método. III. ISO/IEC 27005:2008- IV. ISO/IEC 27002:2005. (2005). Tecnología de la información-Técnicas de seguridad Código para la práctica de la gestión de la seguridad de la información. V. Dirección y gestión de los sistemas de información en la empresa VI. Tecnología – UCLA. Tesis de maestría. Universidad Centroccidental Lisandro Alvarado. Barquisimeto Estado Lara. VII. Royal, F. (1998). Seguridad en los sistemas informáticos. Ediciones Díaz de Santos, S.A. Madrid, España.