Metodologias-Para-Seguridad-Informatica

Vista previa del material en texto

Metodologías para seguridad informática
Un Sistema de Seguridad Informática es un conjunto de medios administrativos, 
medios técnicos y personal que de manera interrelacionada garantizan niveles de 
seguridad informática en correspondencia con la importancia de los bienes a 
proteger y los riesgos estimados7.
El Plan de Seguridad Informática es la expresión gráfica del Sistema de Seguridad
Informática diseñado y constituye el documento básico que establece los 
principios organizativos y funcionales de la actividad de Seguridad Informática en 
una Entidad y recoge claramente las políticas de seguridad y las 
responsabilidades de cada uno de los participantes en el proceso informático, así 
como las medidas y procedimientos que permitan prevenir, detectar y responder a 
las amenazas que gravitan sobre el mismo.
Durante el proceso de diseño de un Sistema de Seguridad Informática se 
distinguen tres etapas:
1. Determinar las necesidades de protección del sistema informático objeto
de análisis, que incluye:
• Caracterización del sistema informático.
• Identificación de las amenazas y estimación de los riesgos.
• Evaluación del estado actual de la seguridad. 
2. Definir e implementar el sistema de seguridad que garantice minimizar 
los riesgos identificados en la primera etapa.
• Definir las políticas de seguridad.
• Definir las medidas y procedimientos a implementar.
3. Evaluar el sistema de seguridad diseñado.
Existen diferentes métodos para el análisis de riesgos de la seguridad informática. 
Algunos de los métodos o metodologías son8:
Metodología MAGERIT
La metodología MAGERIT divide los activos de la organización en varios grupos lo
que nos permite identificar más riesgos de manera especifica y asi poder tomar 
medidas para evitar así cualquier problema.
En el periodo transcurrido desde la publicación de la primera versión de Magerit 
(1997) hasta la fecha, el análisis de riesgos se ha venido consolidando como paso 
necesario para la gestión de la seguridad.
La evaluación de los riesgos es fundamental para poder llevar a cabo planes de 
seguridad y de contingencia dentro de la organización y asi poder hacer frente a 
posibles ataques a los datos y la información tanto de la organización, como de los
servicios que presta.
Esta metodología está basado en tres submodelos que son:.
• De elementos: Este submodelo se clasifican 6 elementos básicos que 
son: activos, amenazas, vulnerabilidades, impacto, riesgo, salvaguarda.
• De eventos: Aquí se clasifican los elementos anteriores en tres formas: 
dinámico físico, dinámico organizativo y estático.
• De procesos: Se definen en 4 etapas: análisis de riesgo, planificación, 
gestión de riesgo y selección de salvaguardas.
 Metodología CORAS (Construct a platform for Risk Analysis of Security 
critical system)
Esta metodología fue desarrollado a partir de 2001 por SINTEF, un grupo de 
investigación noruego financiado por organizaciones del sector público y privado. 
Se desarrolló en el marco del Proyecto CORAS (IST-2000-25031) financiado por la
Unión Europea.
El método nos proporciona:
• Una metodología de análisis de riesgos basado en la elaboración de 
modelos, que consta de siete pasos, basados fundamentalmente en 
entrevistas con los expertos.
• Un lenguaje gráfico basado en UML (Unified Modelling Language) para 
la definición de los modelos (activos, amenazas, riesgos y 
salvaguardas), y guías para su utilización a lo largo del proceso. El 
lenguaje se ha definido como un perfil UML.
• Un editor gráfico para soportar la elaboración de los modelos, basado en
Microsoft Visio.
• Una biblioteca de casos reutilizables.
• Una herramienta de gestión de casos, que permite su gestión y 
reutilización.
• Representación textual basada en XML (eXtensible Mark-up Language) 
del lenguaje gráfico.
Metodología NIST SP 800-30 (National Institute of Standards and Technology)
El NIST (National Institute of Standards and Technology) ha dedicado una serie de 
publicaciones especiales, la SP 800 a la seguridad de la información. Esta serie 
incluye una metodología para el análisis y gestión de riesgos de seguridad de la 
información, alineada y complementaria con el resto de documentos de la serie.
El proceso de gestión de riesgos definido en la metodología NIST SP 800-30 
puede resumirse en el siguiente gráfico:
Metodología OCTAVE
Es una metodología de evaluación y de gestión de los riesgos para garantizar la 
seguridad del sistema informativo, desarrollado por el estándar internacional 
ISO270001.
El núcleo central de OCTAVE es un conjunto de criterios (principios, atributos y 
resultados) a partir de los cuales se pueden desarrollar diversas metodologías.
Tiene dos objetivos específicos que son:
• Desmitificar la falsa creencia: La Seguridad Informática es un asunto 
meramente técnico.
• Presentar los principios básicos y la estructura de las mejores prácticas 
internacionales que guían los asuntos no técnicos.
Divide los activos en dos tipos que son:
• Sistemas, (Hardware. Software y Datos)
1. Personas
La metodología OCTAVE está compuesta en tres fases:
1. Visión de organización: Donde se definen los siguientes elementos: 
activos, vulnerabilidades de organización, amenazas, exigencias de 
seguridad y normas existentes.
2. Visión tecnológica: se clasifican en dos componentes o elementos: 
componentes claves y vulnerabilidades técnicas.
3. Planificación de las medidas y reducción de los riesgos: se clasifican en 
los siguientes elementos: evaluación de los riesgos, estrategia de 
protección, ponderación de los riesgos y plano de reducción de los 
riesgos.
Las fases del proceso pueden resumirse en el siguiente gráfico: