FRAP
Páginas: 84 (20804 palabras)
Publicado: 14 de noviembre de 2013
Facilitated Risk Analysis Process (FRAP) analiza un sistema, una aplicación o un segmento del negocio a la vez. Se convoca a un equipo de personas que incluya administradores y de soporte. El equipo realiza una lluvia de ideas sobre las amenazas potenciales, las vulnerabilidades y los impactos negativos resultantes sobre la integridad, confidencialidad y disponibilidad de los datos/recursos. Seanaliza el impacto sobre las operaciones de la empresa. Se priorizan las amenazas y riesgos. Después de identificar y categorizar los riesgos, el grupo.
Asegurar la seguridad en un software es una tarea muy difícil. Es necesario mitigar los riesgos de que nuestros procesos o información se vean afectados. Existen varias metodologías y marcos de trabajo que nos ayudan en esta tarea.
El métodoSTRIDE sugiere evaluar los siguientes aspectos en la aplicación:
• Spoofing identity – los usuarios no deberían en ningún momento ingresar como otro usuario o pasar por ellos luego;
• Tampering of data – los usuarios pueden modificar los datos que le son enviados a través de los parámetros GET, POST, HTTP Headers, etc. Deben tomarse precauciones con los datos recibidos para verificar si sonaplicables y evitar la validación por el lado del cliente;
• Repudiation – deben generarse suficiente información de auditoría para trazar las acciones de los usuarios de manera que no puedan repudiarlas y asuman plena responsabilidad sobre ellas;
• Information disclousure – deben protegerse a nivel de aplicación las posibles fugas de información, por ejemplo por navegadores que no aceptan lasdirectivas de no-caché en los HTTP Headers;
• Denial of service – las aplicaciones deben protegerse contra denegaciones de servicio causadas por ejemplo por el envío de archivos de gran tamaño o múltiples consultas a los servicios que proveen;
• Escalation of privileges – las aplicaciones deben asegurarse que los usuarios no puedan elevar el nivel de permisos que tienen asignado conviertiéndose porejemplo en administradores
MAGERIT
Magerit es una metodología de análisis y gestión de riesgos de los Sistemas de Información elaborada por el Consejo Superior de Administración Electrónica para minimizar los riesgos de la implantación y uso de las Tecnologías de la Información, enfocada a las Administraciones Públicas.
Actualmente está en su versión 3.
Magerit ofrece una aplicación, PILARpara el análisis y gestión de riesgos de un Sistema de Información.
COBRA
COBRA significa “Consultivo, Objetivo Bi-funcional y análisis de riesgos.” COBRA fue creado alrededor del año 1991 por la consultora “C&A Systems Security Ltd”., con sede en el Reino Unido. COBRA fue diseñado para proporcionar a las organizaciones los medios para llevar a cabo una autoevaluación de su postura deseguridad, que incluye las evaluaciones de riesgo, sin la necesidad de ayuda de consultores externos. Asimismo, se pretende, como la mayoría de las metodologías de evaluación de riesgo hacen, para ayudar a las empresas a considerar la seguridad como un asunto de negocios más que todo como una técnica y uno que puede y debe ser justificada en términos de costos y ahorros. COBRA sigue los lineamientosestablecidos por la norma ISO 17799, y su metodología no es tanto un proceso documentado como un programa descargable que consta de dos grandes partes: Consultoría de Riesgos y Cumplimiento de la ISO. Ambas aplicaciones se pueden personalizar y utilizar bases de conocimientos que contienen conocimientos de expertos para ayudar al usuario a analizar sus riesgos de seguridad. El usuario puedeconstruir cuestionarios personalizados basados en plantillas y luego utilizar el cuestionario para construir un conjunto de respuestas. Las respuestas se pueden cambiar en un momento posterior para ver el impacto de las variaciones, y COBRA puede producir informes que sirven para revisar y resumir los datos y que proporcionan recomendaciones basadas en las mejores prácticas.
Asegurar la...
Asegurar la seguridad en un software es una tarea muy difícil. Es necesario mitigar los riesgos de que nuestros procesos o información se vean afectados. Existen varias metodologías y marcos de trabajo que nos ayudan en esta tarea.
El métodoSTRIDE sugiere evaluar los siguientes aspectos en la aplicación:
• Spoofing identity – los usuarios no deberían en ningún momento ingresar como otro usuario o pasar por ellos luego;
• Tampering of data – los usuarios pueden modificar los datos que le son enviados a través de los parámetros GET, POST, HTTP Headers, etc. Deben tomarse precauciones con los datos recibidos para verificar si sonaplicables y evitar la validación por el lado del cliente;
• Repudiation – deben generarse suficiente información de auditoría para trazar las acciones de los usuarios de manera que no puedan repudiarlas y asuman plena responsabilidad sobre ellas;
• Information disclousure – deben protegerse a nivel de aplicación las posibles fugas de información, por ejemplo por navegadores que no aceptan lasdirectivas de no-caché en los HTTP Headers;
• Denial of service – las aplicaciones deben protegerse contra denegaciones de servicio causadas por ejemplo por el envío de archivos de gran tamaño o múltiples consultas a los servicios que proveen;
• Escalation of privileges – las aplicaciones deben asegurarse que los usuarios no puedan elevar el nivel de permisos que tienen asignado conviertiéndose porejemplo en administradores
MAGERIT
Magerit es una metodología de análisis y gestión de riesgos de los Sistemas de Información elaborada por el Consejo Superior de Administración Electrónica para minimizar los riesgos de la implantación y uso de las Tecnologías de la Información, enfocada a las Administraciones Públicas.
Actualmente está en su versión 3.
Magerit ofrece una aplicación, PILARpara el análisis y gestión de riesgos de un Sistema de Información.
COBRA
COBRA significa “Consultivo, Objetivo Bi-funcional y análisis de riesgos.” COBRA fue creado alrededor del año 1991 por la consultora “C&A Systems Security Ltd”., con sede en el Reino Unido. COBRA fue diseñado para proporcionar a las organizaciones los medios para llevar a cabo una autoevaluación de su postura deseguridad, que incluye las evaluaciones de riesgo, sin la necesidad de ayuda de consultores externos. Asimismo, se pretende, como la mayoría de las metodologías de evaluación de riesgo hacen, para ayudar a las empresas a considerar la seguridad como un asunto de negocios más que todo como una técnica y uno que puede y debe ser justificada en términos de costos y ahorros. COBRA sigue los lineamientosestablecidos por la norma ISO 17799, y su metodología no es tanto un proceso documentado como un programa descargable que consta de dos grandes partes: Consultoría de Riesgos y Cumplimiento de la ISO. Ambas aplicaciones se pueden personalizar y utilizar bases de conocimientos que contienen conocimientos de expertos para ayudar al usuario a analizar sus riesgos de seguridad. El usuario puedeconstruir cuestionarios personalizados basados en plantillas y luego utilizar el cuestionario para construir un conjunto de respuestas. Las respuestas se pueden cambiar en un momento posterior para ver el impacto de las variaciones, y COBRA puede producir informes que sirven para revisar y resumir los datos y que proporcionan recomendaciones basadas en las mejores prácticas.
Asegurar la...
Leer documento completo
Regístrate para leer el documento completo.