metodologia magerit octave y mehari
Páginas: 7 (1551 palabras)
Publicado: 11 de noviembre de 2013
http://www.cyta.com.ar/ta1001/v10n1a3.htm
Resumen
En éste trabajo se presenta una metodología de rápida aplicación que implementa los pasos necesarios para analizar un sistema, identificar las amenazas, las vulnerabilidades asociadas, calcular la probabilidad de ocurrencia de esas amenazas, determinar del impacto en caso de su materialización y por ultimo la obtención del riesgo al que seestá expuesto. Así, esta metodología sería una herramienta de fácil implementación en una organización mediana ó pequeña que le permitiría identificar y gestionar los riesgos de tecnología de la información. El análisis de riesgos es el primer punto de la gestión de la seguridad de la información de una organización, y es necesario para realizar la gestión de los riesgos, es decir, tomar la decisiónde eliminarlos, ignorarlos, transferirlos o mitigarlos y controlarlos, es decir realizar la gestión de riesgos.
Introducción
El proceso para desarrollar la nueva metodología comenzó con la investigación y el estudio pormenorizado de las principales metodologías existentes en el mercado para al análisis de los riesgos informáticos.
En éste trabajo se presenta el análisis de las tresmetodologías mas usadas, con el fin de determinar en forma detallada sobre como es su funcionamiento y cuáles son sus fortalezas y debilidades. Las metodologías estudiadas son Magerit, Octave y Mehari.
Como resultado de este análisis se identificaron e incorporaron esas fortalezas en el diseño de la nueva metodología de análisis de riesgos informáticos en cuestión. Los límites en el alcance de este trabajofueron no haber incorporado elementos de otras metodologías existentes, fuera de las que no se mencionaron anteriormente.
Esto nos permitió obtener los mejores elementos de cada una de estas metodologías a fin de diseñar y obtener una nueva a partir de ellos.
2. Objetivos de las metodologías
Tanto las tres metodologías estudiadas como la que se desarrollará tienen por objetivo los siguientespuntos:
Planificación de la reducción de riesgos
Planificación de la prevención de accidentes
Visualización y detección de las debilidades existentes en los sistemas
Ayuda en la toma de las mejores decisiones en materia de seguridad de la información
3.Enfoques del análisis de riesgos
Existe una serie de diferentes enfoques para realizar el análisis de riesgos pero, en esencia, suelendividirse en dos tipos fundamentales:
cuantitativos
cualitativos.
El enfoque utilizado para el desarrollo de esta metodología es el cuantitativo.
3.1. Enfoque cuantitativo del análisis de riesgos
Este enfoque emplea dos elementos fundamentales, la probabilidad de que se produzca un evento y el impacto que ocasionaría la probable pérdida en caso de que ocurra el citado evento.
El enfoquecuantitativo de análisis de riesgos consiste en la obtención de un valor a partir del producto de estos elementos. La forma de calcularlo, para un evento dado, es realizando la multiplicación del valor de la pérdida potencial por el valor de la probabilidad de ocurrencia. De esta manera es prácticamente concreto y posible valorar los eventos y calcular el riesgo a fin de tomar las decisionescorrespondientes.
Son numerosas las organizaciones que han adoptado y aplicado con éxito el análisis de riesgo cuantitativo. De hecho se recomienda fuertemente comenzar con un análisis de riesgo cuantitativo y luego, si el negocio lo amerita, hacer un análisis cualitativo.
4. Descripción de la metodología básica
Para el diseño y desarrollo de la nueva metodología de análisis de riesgos informáticos se partióde una metodología base, de la cual se procede a continuación a dar una breve descripción de cada una de sus etapas:
Caracterización del sistema
Identificación de amenazas
Identificación de vulnerabilidades
Análisis de controles
Determinación de la probabilidad de ocurrencia
Análisis de impacto
Determinación del riesgo
Recomendaciones de control
Documentación de resultados
5.Lisis de...
Resumen
En éste trabajo se presenta una metodología de rápida aplicación que implementa los pasos necesarios para analizar un sistema, identificar las amenazas, las vulnerabilidades asociadas, calcular la probabilidad de ocurrencia de esas amenazas, determinar del impacto en caso de su materialización y por ultimo la obtención del riesgo al que seestá expuesto. Así, esta metodología sería una herramienta de fácil implementación en una organización mediana ó pequeña que le permitiría identificar y gestionar los riesgos de tecnología de la información. El análisis de riesgos es el primer punto de la gestión de la seguridad de la información de una organización, y es necesario para realizar la gestión de los riesgos, es decir, tomar la decisiónde eliminarlos, ignorarlos, transferirlos o mitigarlos y controlarlos, es decir realizar la gestión de riesgos.
Introducción
El proceso para desarrollar la nueva metodología comenzó con la investigación y el estudio pormenorizado de las principales metodologías existentes en el mercado para al análisis de los riesgos informáticos.
En éste trabajo se presenta el análisis de las tresmetodologías mas usadas, con el fin de determinar en forma detallada sobre como es su funcionamiento y cuáles son sus fortalezas y debilidades. Las metodologías estudiadas son Magerit, Octave y Mehari.
Como resultado de este análisis se identificaron e incorporaron esas fortalezas en el diseño de la nueva metodología de análisis de riesgos informáticos en cuestión. Los límites en el alcance de este trabajofueron no haber incorporado elementos de otras metodologías existentes, fuera de las que no se mencionaron anteriormente.
Esto nos permitió obtener los mejores elementos de cada una de estas metodologías a fin de diseñar y obtener una nueva a partir de ellos.
2. Objetivos de las metodologías
Tanto las tres metodologías estudiadas como la que se desarrollará tienen por objetivo los siguientespuntos:
Planificación de la reducción de riesgos
Planificación de la prevención de accidentes
Visualización y detección de las debilidades existentes en los sistemas
Ayuda en la toma de las mejores decisiones en materia de seguridad de la información
3.Enfoques del análisis de riesgos
Existe una serie de diferentes enfoques para realizar el análisis de riesgos pero, en esencia, suelendividirse en dos tipos fundamentales:
cuantitativos
cualitativos.
El enfoque utilizado para el desarrollo de esta metodología es el cuantitativo.
3.1. Enfoque cuantitativo del análisis de riesgos
Este enfoque emplea dos elementos fundamentales, la probabilidad de que se produzca un evento y el impacto que ocasionaría la probable pérdida en caso de que ocurra el citado evento.
El enfoquecuantitativo de análisis de riesgos consiste en la obtención de un valor a partir del producto de estos elementos. La forma de calcularlo, para un evento dado, es realizando la multiplicación del valor de la pérdida potencial por el valor de la probabilidad de ocurrencia. De esta manera es prácticamente concreto y posible valorar los eventos y calcular el riesgo a fin de tomar las decisionescorrespondientes.
Son numerosas las organizaciones que han adoptado y aplicado con éxito el análisis de riesgo cuantitativo. De hecho se recomienda fuertemente comenzar con un análisis de riesgo cuantitativo y luego, si el negocio lo amerita, hacer un análisis cualitativo.
4. Descripción de la metodología básica
Para el diseño y desarrollo de la nueva metodología de análisis de riesgos informáticos se partióde una metodología base, de la cual se procede a continuación a dar una breve descripción de cada una de sus etapas:
Caracterización del sistema
Identificación de amenazas
Identificación de vulnerabilidades
Análisis de controles
Determinación de la probabilidad de ocurrencia
Análisis de impacto
Determinación del riesgo
Recomendaciones de control
Documentación de resultados
5.Lisis de...
Leer documento completo
Regístrate para leer el documento completo.