Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
METODOLOGIAS DE EVALUACION DE RIESGOS INFORMATICOS METODOLOGÍAS DE EVALUACIÓN DE RIESGOS INFORMÁTICOS Análisis de Riesgos: Es un método sistemático de recopilación, evaluación, registro y difusión de información necesaria para formular recomendaciones orientadas a la adopción de una posición o medidas en respuesta a un peligro determinado. Análisis de Vulnerabilidades: Es una herramienta que permite poner a prueba la seguridad e integridad de las redes informáticas. Exploración o Familiarización: En esta etapa se realizara un estudio o examen previo al inicio de la Auditoría con el propósito de conocer en detalle las características de la entidad a auditar para tener los elementos necesarios que permitan un adecuado planeamiento del trabajo a realizar y dirigirlo hacia las cuestiones que resulten de mayor interés de acuerdo con los objetivos previstos. Método Cualitativo: Se trata de determinar la severidad del Riesgo, agrupándolos en algunas categorías, de acuerdo a unos criterios. Método Cuantitativo: Clasifican su importancia en función de un cálculo de costos anuales estimados en función de su consecuencia y de su Probabilidad. Metodología de Auditoria: Una metodología de auditoría es un conjunto de procedimientos documentados de auditoría diseñados para alcanzar los objetivos de auditoría planeados. Sus componentes son una declaración del alcance, una declaración de los objetivos de la auditoría y una declaración de los programas de auditoría. Riesgo de control: Es decir, el riesgo de que los sistemas de control en vigencia no puedan detectar o evitar errores o irregularidades significativas en forma oportuna. Riesgo inherente: Es la susceptibilidad a errores o irregularidades significativas, antes de considerar la efectividad de los sistemas de control, es el riesgo propio del negocio como tal. Riesgos: Es la probabilidad de que una amenaza se convierta en un desastre. La vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre. Luego de haber vistos estos conceptos debemos saber que en la actualidad cualquier empresa tiene Riesgos Informáticos, que pueden afectar su funcionamiento y una forma, que se utiliza para brindar continuidad al negocio y prevenir desastres de cualquier tipo en una empresa es el de realizar una Evaluación de Riesgos Informáticos. Esta evaluación se puede llevar a cabo de forma cualitativa, semicualitativa y cuantitativa utilizando los siguientes métodos o metodologías: MAGERIT: metodología española de análisis y gestión de riesgos para los sistemas de información, promovida por el MAP y diferente a la UNE EBIOS: metodología francesa de análisis y gestión de riesgos de seguridad de sistemas de información. CRAMM: metodología de análisis y gestión de riesgos desarrollada por el CCTA inglés OCTAVE: metodología de evaluación de riesgos desarrollada por el SEI (Software Engineering Institute) de la Carnegie Mellon University CORAS: Desarrollado a partir de 2001 por SINTEF, un grupo de investigación noruego financiado por organizaciones del sector público y privado. Se desarrolló en el marco del Proyecto CORAS (IST-2000-25031) financiado por la Unión Europea. Basado en la elaboración de modelos, que consta de siete pasos, basados fundamentalmente en entrevistas con los expertos. NIST SP 800-30: El NIST (National Institute of Standards and Technology) ha dedicado una serie de publicaciones especiales, la SP 800 a la seguridad de la información. Esta serie incluye una metodología para el análisis y gestión de riesgos de seguridad de la información, alineada y complementaria con el resto de documentos de la serie. MEHARI: Es la metodología de análisis y gestión de riesgos desarrollada por la CLUSIF (CLUb de la Sécurité de l’Information Français) en 1995 y deriva de las metodologías previas Melissa y Marion. La metodología ha evolucionado proporcionando una guía de implantación de la seguridad en una entidad a lo largo del ciclo de vida. Del mismo modo, evalúa riesgos en base a los criterios de disponibilidad, integridad y confidencialidad ANÁLISIS HOLANDÉS A&K: Es método de análisis de riesgos, del que hay publicado un manual, que ha sido desarrollado por el Ministerio de Asuntos Internos de Holanda, y se usa en el gobierno y a menudo en empresas holandesas. Para finalizar la presentación de las metodologías de evaluación de riesgos informáticos explicare detalladamente la metodología CRAMM: Es la metodología de análisis de riesgos desarrollado por el Centro de Informática y la Agencia Nacional de Telecomunicaciones (CCTA) del gobierno del Reino Unido. El significado del acrónimo proviene de CCTARisk Análisis and Management Method. Su versión inicial data de 1987 y la versión vigente es la 5.2. Está basado en las mejores prácticas de la administración pública británica, por lo que es más adecuado para organizaciones grandes, tanto públicas como privadas. Características: Sirve para el análisis y gestión de riesgos. Aplica conceptos de una manera formal, disciplinada y estructurada. Orientada a proteger la confidencialidad, integridad y disponibilidad de un sistema y de sus activos. Que, aunque es considerada cuantitativa, utiliza evaluaciones cuantitativas y cualitativas, y por esto se considera mixta. Aplica a activos de modelado de dependencia Sirve para la evaluación de impacto empresarial Identificación y evaluación de amenazas y vulnerabilidades Evaluar los niveles de riesgo La identificación de los controles necesarios y justificados sobre la base de la evaluación del riesgo. Un enfoque flexible para la evaluación de riesgos. Alcance: Es aplicable a todo tipo de sistemas y redes de información y se puede aplicar en todas las etapas del ciclo de vida del sistema de información, desde la planificación y viabilidad, a través del desarrollo e implementación del mismo. CRAMM se puede utilizar siempre que sea necesario para identificar la seguridad y/o requisitos de contingencia para un sistema de información o de la red. La metodología de CRAMM tiene tres etapas: La primera de las etapas recoge la definición global de los objetivos de seguridad entre los que se encuentra la definición del alcance, la identificación y evaluación de los activos físicos y software implicados, la determinación del valor de los datos en cuanto a impacto en el negocio y la identificación. En la segunda etapa de la metodología se hace el análisis de riesgos, identificando las amenazas que afecta al sistema, así como las vulnerabilidades que explotan dichas amenazas y por último el cálculo de los riesgos de materialización de las mismas. En la tercera etapa se identifican y seleccionan las medidas de seguridad aplicadas en la entidad obteniendo los riesgos residuales, CRAMM proporciona una librería de 3000 medidas de seguridad. Fuente: Este contenido ha sido publicado originalmente http://riesgosunad.blogspot.com/
Compartir