Analisis de Riesgo
Introducción
En este documento vamos a Identificar dos de las más importantes metodologías en cuanto al análisis de riesgos y vulnerabilidades en una Organización, como lo son Octave y Magerit.
Estas son las dos más utilizadas a Nivel mundial, una porque es en español ya que fue desarrollada por el Consejo Superior de Administración Electrónica que hace parte delMinisterio de Administraciones Publicas de España y la otra porque es muy resumida en cuanto a la identificación de los activos de la Organización y no los clasifica demasiado, estamos hablando de Magerit y Octave respectivamente.
Como lo mencionábamos Magerit fue creada por el Consejo Superior de Administración Electrónica y es muy utilizado por la implementación y el resultado que ofrece, ya que esmuy sutil en el momento de clasificar los Activos de la Organización y describe métodos muy útiles y prácticos para realizar el análisis de los riesgos, sin mencionar la infinidad de documentación que hay en Internet.
Por otro lado Octave fue desarrollada por CERT que es una Empresa con sede en la Universidad Carnegie Mellon en Pittsburgh (Pennsylvania), uno de los centros de investigación deInformática y Robótica más importantes de EEUU.
El Programa CERT ® forma parte del Instituto de Ingeniería de Software (SEI), y es una investigación financiada por el gobierno federal y el centro de desarrollo en la Universidad Carnegie Mellon en Pittsburgh, Pennsylvania.
MAGERIT
En el periodo transcurrido desde la publicación de la primera versión de Magerit (1997) hasta la fecha, elanálisis de riesgos se ha venido consolidando como paso necesario para la gestión de la seguridad.
La Evaluación del riesgo es fundamental para llevar cabo planes de seguridad y de contingencia dentro de la organización, para poder gestionarlos y hacerse riguroso frente a posibles ataques a los datos y la información tanto de la organización, como de los servicios que presta.
Otra parte importante quedebemos tomar es el proceso de administración de riesgos el cual existe una serie de tareas o fases principales de manera muy concreta.
Objetivos
Este análisis tiene como objetivos identificar los riesgos y lograr establecer el riesgo total y luego el riesgo residual, tanto sea en términos cuantitativos o cualitativos. Cuando se refiere al riesgo total, se trata de la combinación de loselementos que lo conforman.
Los objetivos son los siguientes:
Planificación de la reducción de riesgos
Planificación de la prevención de accidentes
Visualización y detección de las debilidades existentes en los sistemas
Ayuda en la toma de las mejores decisiones en materia de seguridad de la información
Objetivos de Magerit:
Directos
1- Concienciar a los responsables de lossistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.
2- Ofrecer un método sistemático para analizar tales riesgos.
3- Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.
Indirectos
4- Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.Breve Contextualización
Magerit es una metodología que se esfuerza por enfatizarse en dividir los activos de la organización en variados grupos, para identificar más riesgos y poder tomar contramedidas para evitar así cualquier inconveniente.
La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de las tecnologías de la información, que supone unos beneficiosevidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.
OCTAVE
Operationally Critical Threats Assets and Vulnerability Evaluation. Es un método de evaluación y de gestión de los riesgos para garantizar la seguridad del sistema informativo, desarrollado por el estándar internacional ISO270001.
Octave...
Regístrate para leer el documento completo.