Metodologias de Analisis de Riesgo
Posgrado de Sistemas de Información
Auditoria de Sistemas
Metodologías de Análisis de Riesgo
CRAMM, PRIMA Y MAGERIT
Julio Rodrigo Martínez Fuentes
Carné: 2004-2361
Metodología de Análisis de Riesgos.
Origen
Método utilizado
Herramientas
Capacidades
Versiones
Aplicaciones
CRAMM
Su versión inicial data de
1987. Creado por “Central
Computingand
Telecommunications
Agency (CCTA)” del
gobierno del Reino Unido.
El método CRAMM es
propiedad, administrado y
mantenido por el Servicio de
Seguridad del Reino Unido
Activos de modelado de
dependencia.
Evaluación de impacto
empresarial.
Identificación y evaluación
de amenazas y
vulnerabilidades.
Evaluar los niveles de
riesgo.
La identificación de los
controles necesarios yjustificados sobre la base de
la evaluación del riesgo.
Un enfoque flexible para la
evaluación de riesgos.
Más de 400 tipos de Activos.
Más de 25 tipos de Impacto.
38 tipos de Amenaza.
7 Tipos de medida del
Riesgo.
Más de 3500 salvaguardas.
CRAMM Expert
CRAMM Express
BS7799
Todo tipo de sistemas.
Redes de información.
Se puede aplicar en todas las
etapas del ciclo de vida delsistema de información.
MAGERIT
Data de noviembre
del 2001, por la necesidad
de generar confianza entre
los ciudadanos para uso de
medios electrónicos.
PRIMA
Se desarrollan entre 1990 y la
actualidad con un enfoque objetivo.
Es una metodología de
carácter público,
perteneciente al Ministerio
de Hacienda y
Administraciones
Públicas; su utilización no
requiere autorización
previadel mismo.
PILAR es la herramienta
que implementa la
metodología MAGERIT
de análisis y gestión de
riesgos.
Utiliza un método cuantitativo,
basado en un modelo matemático
numérico que ayuda a la realización
de trabajo.
Nivel de confianza, los
accidentes o acciones
ilícitas o malintencionadas
que comprometan la
disponibilidad,
autenticidad, integridad y
confidencialidad de losdatos almacenados o
transmitidos y de los
servicios que dichas redes
y sistemas ofrecen o hacen
accesibles.
Actualmente se encuentra
en su versión 3.
Cubrir las
seguridad.
MAGERIT es un
instrumento para facilitar
la implantación y
aplicación del Esquema
Nacional de Seguridad.
necesidades/Plan
de
Facil adaptación a cualquier tipo de
herramienta.
Cuestionarios
quefaciliten
identificar las debilidades o faltas.
PRIMA (Prevención de Riesgos Informáticos con Metodología Abierta): Es un
conjunto de metodologías españolas desarrolladas entre los años 1990 y la actualidad
con un enfoque subjetivo. Sus características esenciales son:
• Cubrir las necesidades de los profesionales que desarrollan
cada uno de los proyectos necesarios de un plan de seguridad.
•Fácilmente adaptable a cualquier tipo de herramienta.
• Posee cuestionarios de preguntas para la identificación de
debilidades o faltas de controles.
• Posee listas de ayuda para los usuarios menos experimentados de
debilidades, riesgos y contramedidas (sistema de ayuda).
• Permite fácilmente la generación de informes finales.
• Las “Listas de Ayuda” (Ver Figura 2.6.) y los cuestionarios sonabiertos, y por tanto es posible introducir información nueva o
cambiar la existente. De ahí la expresión abierta de su nombre.
• Tiene un “¿Qué pasa si...?” cualitativo, y capacidad de aprendizaje
al poseer una base de conocimiento o registro de incidentes que
van variando las esperanzas matemáticas de partida y adaptándose
a los entornos de trabajo.
FIGURA 2.4.
FASES DE LA METODOLOGÍAPRIMA
Con la misma filosofía abierta existen en la actualidad las siguientes metodologías:
•
•
•
•
•
•
•
•
Análisis de Riesgos.
Plan de Contingencias Informática y de recuperación del negocio.
Plan de restauración interno informático.
Clasificación de la información.
Definición y desarrollo de procedimientos de control informáticos.
Plan de cifrado.
Auditoría Informática....
Regístrate para leer el documento completo.