Lectura 7 1 - rebeca molina

Vista previa del material en texto

METODOLOGIAS DE EVALUACION DE RIESGOS 
INFORMATICOS 
 
METODOLOGÍAS DE EVALUACIÓN DE RIESGOS INFORMÁTICOS 
 
Análisis de Riesgos: Es un método sistemático de recopilación, evaluación, 
registro y difusión de información necesaria para formular recomendaciones 
orientadas a la adopción de una posición o medidas en respuesta a un peligro 
determinado. 
Análisis de Vulnerabilidades: Es una herramienta que permite poner a 
prueba la seguridad e integridad de las redes informáticas. 
Exploración o Familiarización: En esta etapa se realizara un estudio o 
examen previo al inicio de la Auditoría con el propósito de conocer en detalle 
las características de la entidad a auditar para tener los elementos necesarios 
que permitan un adecuado planeamiento del trabajo a realizar y dirigirlo hacia 
las cuestiones que resulten de mayor interés de acuerdo con los objetivos 
previstos. 
Método Cualitativo: Se trata de determinar la severidad del Riesgo, 
agrupándolos en algunas categorías, de acuerdo a unos criterios. 
Método Cuantitativo: Clasifican su importancia en función de un cálculo de 
costos anuales estimados en función de su consecuencia y de su 
Probabilidad. 
Metodología de Auditoria: Una metodología de auditoría es un conjunto de 
procedimientos documentados de auditoría diseñados para alcanzar los 
objetivos de auditoría planeados. Sus componentes son una declaración del 
alcance, una declaración de los objetivos de la auditoría y una declaración de 
los programas de auditoría. 
Riesgo de control: Es decir, el riesgo de que los sistemas de control en 
vigencia no puedan detectar o evitar errores o irregularidades significativas en 
forma oportuna. 
Riesgo inherente: Es la susceptibilidad a errores o irregularidades 
significativas, antes de considerar la efectividad de los sistemas de control, es 
el riesgo propio del negocio como tal. 
Riesgos: Es la probabilidad de que una amenaza se convierta en un desastre. 
La vulnerabilidad o las amenazas, por separado, no representan un peligro. 
Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que 
ocurra un desastre. 
 
Luego de haber vistos estos conceptos debemos saber que en la actualidad 
cualquier empresa tiene Riesgos Informáticos, que pueden afectar su 
funcionamiento y una forma, que se utiliza para brindar continuidad al negocio y 
prevenir desastres de cualquier tipo en una empresa es el de realizar una 
Evaluación de Riesgos Informáticos. Esta evaluación se puede llevar a cabo de 
forma cualitativa, semicualitativa y cuantitativa utilizando los siguientes 
métodos o metodologías: 
 
MAGERIT: metodología española de análisis y gestión de riesgos para los 
sistemas de información, promovida por el MAP y diferente a la UNE 
EBIOS: metodología francesa de análisis y gestión de riesgos de seguridad de 
sistemas de información. 
CRAMM: metodología de análisis y gestión de riesgos desarrollada por el 
CCTA inglés 
OCTAVE: metodología de evaluación de riesgos desarrollada por el SEI 
(Software Engineering Institute) de la Carnegie Mellon University 
CORAS: Desarrollado a partir de 2001 por SINTEF, un grupo de investigación 
noruego financiado por organizaciones del sector público y privado. Se 
desarrolló en el marco del Proyecto CORAS (IST-2000-25031) financiado por la 
Unión Europea. Basado en la elaboración de modelos, que consta de siete 
pasos, basados fundamentalmente en entrevistas con los expertos. 
NIST SP 800-30: El NIST (National Institute of Standards and Technology) ha 
dedicado una serie de publicaciones especiales, la SP 800 a la seguridad de la 
información. Esta serie incluye una metodología para el análisis y gestión de 
riesgos de seguridad de la información, alineada y complementaria con el resto 
de documentos de la serie. 
MEHARI: Es la metodología de análisis y gestión de riesgos desarrollada por la 
CLUSIF (CLUb de la Sécurité de l’Information Français) en 1995 y deriva de las 
metodologías previas Melissa y Marion. La metodología ha evolucionado 
proporcionando una guía de implantación de la seguridad en una entidad a lo 
largo del ciclo de vida. Del mismo modo, evalúa riesgos en base a los criterios 
de disponibilidad, integridad y confidencialidad 
ANÁLISIS HOLANDÉS A&K: Es método de análisis de riesgos, del que hay 
publicado un manual, que ha sido desarrollado por el Ministerio de Asuntos 
Internos de Holanda, y se usa en el gobierno y a menudo en empresas 
holandesas. 
 
Para finalizar la presentación de las metodologías de evaluación de riesgos 
informáticos explicare detalladamente la metodología CRAMM: 
 
Es la metodología de análisis de riesgos desarrollado por el Centro de 
Informática y la Agencia Nacional de Telecomunicaciones (CCTA) del gobierno 
del Reino Unido. El significado del acrónimo proviene de CCTARisk Análisis 
and Management Method. Su versión inicial data de 1987 y la versión vigente 
es la 5.2. Está basado en las mejores prácticas de la administración pública 
británica, por lo que es más adecuado para organizaciones grandes, tanto 
públicas como privadas. 
 
Características: 
 Sirve para el análisis y gestión de riesgos. 
 Aplica conceptos de una manera formal, disciplinada y estructurada. 
 Orientada a proteger la confidencialidad, integridad y disponibilidad de 
un sistema y de sus activos. 
 Que, aunque es considerada cuantitativa, utiliza evaluaciones 
cuantitativas y cualitativas, y por esto se considera mixta. 
 Aplica a activos de modelado de dependencia 
 Sirve para la evaluación de impacto empresarial 
 Identificación y evaluación de amenazas y vulnerabilidades 
 Evaluar los niveles de riesgo 
 La identificación de los controles necesarios y justificados sobre la base 
de la evaluación del riesgo. 
 Un enfoque flexible para la evaluación de riesgos. 
Alcance: Es aplicable a todo tipo de sistemas y redes de información y se 
puede aplicar en todas las etapas del ciclo de vida del sistema de información, 
desde la planificación y viabilidad, a través del desarrollo e implementación del 
mismo. CRAMM se puede utilizar siempre que sea necesario para identificar la 
seguridad y/o requisitos de contingencia para un sistema de información o de la 
red. 
 
La metodología de CRAMM tiene tres etapas: 
 La primera de las etapas recoge la definición global de los objetivos de 
seguridad entre los que se encuentra la definición del alcance, la 
identificación y evaluación de los activos físicos y software implicados, la 
determinación del valor de los datos en cuanto a impacto en el negocio y 
la identificación. 
 En la segunda etapa de la metodología se hace el análisis de riesgos, 
identificando las amenazas que afecta al sistema, así como las 
vulnerabilidades que explotan dichas amenazas y por último el cálculo 
de los riesgos de materialización de las mismas. 
 En la tercera etapa se identifican y seleccionan las medidas de 
seguridad aplicadas en la entidad obteniendo los riesgos residuales, 
CRAMM proporciona una librería de 3000 medidas de seguridad. 
 
Fuente: Este contenido ha sido publicado originalmente http://riesgosunad.blogspot.com/