Resumen metodologia de maherit y octave
El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos pa-sos pautados:
1. determinar los activos relevantes para la Organización, su interrelación y su valor, en el sen-tido de qué perjuicio (coste) supondría su degradación
2. determinar a qué amenazas están expuestos aquellos activos
3.determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo
4. estimar el impacto, definido como el daño sobre el activo derivado de la materialización de laamenaza
5. estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expecta-tiva de materialización) de la amenazaCon el objeto de organizar la presentación, se introducen los conceptos de“impacto y riesgo po-tenciales” entre los pasos 2 y 3
Paso 1: Activos
Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos
físicos y recursos humanos. [UNE 71504:2008]En un sistema de información hay 2 cosas esenciales:
— la información que maneja
— y los servicios que presta.
Estos activos esenciales marcan los requisitos de seguridad para todos los demás componentes
del sistema.
Subordinados a dicha esencia se pueden identificar otros activos relevantes:
— Datos que materializan la información.
— Servicios auxiliares que se necesitan para poderorganizar el sistema.
— Las aplicaciones informáticas (software) que permiten manejar los datos.
— Los equipos informáti cos (hardware) y que permiten hospedar datos, aplicaciones y
servicios.
— Los soportes de información que son dispositivos de almacenamiento de datos.
— El equipamiento auxiliar que complementa el material informático.
— Las redes de comunicaciones que permiten intercambiardatos.
— Las instalaciones que acogen equipos informáticos y de comunicaciones.
— Las personas que explotan u operan todos los elementos anteriormente citados.
No todos los activos son de la misma especie. Dependiendo del tipo de activo, las amenazas y las
Salvaguardas son diferentes10. El capítulo 2 del "Catálogo de Elementos" presenta una relación de
Tipos de activos.
DependenciasAunque en cada caso hay que adaptarse a la Organización objeto del análisis, con frecuencia se
puede estructurar el conjunto de activos en capas, donde las capas superiores dependen de las
inferiores:
activos esenciales
información que se maneja
servicios prestados
servicios internos
que estructuran ordenadamente el sistema de información
el equipamiento informáticoaplicaciones (software)
equipos informáticos (hardware)
comunicaciones
soportes de información: discos, cintas, etc.
el entorno: activos que se precisan para garantizar las siguientes capas
equipamiento y suministros: energía, climatización, etc.
mobiliario
los servicios subcontratados a terceros
las instalaciones físicas
el personal
usuarios
operadores y administradoresdesarrolladores
Paso 2: Amenazas
El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo. Las
amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle
a nuestros activos y causar un daño.
Amenaza
Causa potencial de un incidente que puede causar daños a un sistema de información o a una
organización. [UNE 71504:2008]Identificación de las amenazas
El capítulo 5 del "Catálogo de Elementos" presenta una relación de amenazas típicas.
De origen natural
Hay accidentes naturales (terremotos, inundaciones, ...). Ante esos avatares el siste-
ma de información es víctima pasiva, pero de todas formas tendremos en cuenta lo
que puede suceder.
Del entorno (de origen industrial)
Hay desastres industriales...
Regístrate para leer el documento completo.