Metodologias De Analisis De Riegos Informaticos
Enviado por kawka • 17 de Enero de 2014 • 3.124 Palabras (13 Páginas) • 252 Visitas
Se presenta una metodología de rápida aplicación que implementa los pasos necesarios para analizar un sistema, identificar las amenazas, las vulnerabilidades asociadas, calcular la probabilidad de ocurrencia de esas amenazas, determinar del impacto en caso de su materialización y por último la obtención del riesgo al que se está expuesto. Así, esta metodología sería una herramienta de fácil implementación en una organización mediana o pequeña que le permitiría identificar y gestionar los riesgos de tecnología de la información. El análisis de riesgos es el primer punto de la gestión de la seguridad de la información de una organización, y es necesario para realizar la gestión de los riesgos, es decir, tomar la decisión de eliminarlos, ignorarlos, transferirlos o mitigarlos y controlarlos, es decir realizar la gestión de riesgos.
Un riesgo es un evento, el cual es incierto y tiene un impacto negativo. Análisis de riesgo es el proceso cuantitativo o cualitativo que permite evaluar los riesgos. Las metodologías de análisis de riesgos existentes describen sus etapas en forma teórica, se presentan pocos ejemplos o es necesario una herramienta para realizarlo, cuyo costo normalmente es elevado. Por lo anterior es necesario establecer una metodología cualitativa práctica para realizar un análisis de riesgos a la áreas de TI, estableciendo el cómo puede ejecutarse el análisis.
HISTORIA Y EVOLUCIÓN
La gestión de riesgos pasa por tres generaciones de modelos de riesgos en proyectos informáticos:
- Primera Generación G1 (Casuística)
Esta generación data de principios de los años 80 y está basada en listas ‘casuísticas’ de riesgos especiales para proyectos, se identifican casos de riesgo y se extrapolan a otros proyectos. No hay una planificación específica.
En esta generación se definen los Riesgos tecnológicos y las Listas de comprobación de riesgos.
En los años 40 se presentó la teoría de la fiabilidad, arranque de la Teoría del Riesgo en Sistemas Complejos con el Teorema de Lusser: “la probabilidad de éxito de una cadena de componentes es el producto de las probabilidades de éxito de sus elementos” (la fiabilidad del conjunto es inferior a la de cada elemento separado; “la cadena se rompe siempre por su eslabón más débil”).
Para los años 60 se presentó el Análisis de riesgos cuantitativo (procesos markovianos) para describir el comportamiento de sistemas complejos con fallos ensayables y sin intervención manual, o cualitativo como los árboles de fallos para sistemas híbridos con la incertidumbre de la intervención humana y la imposibilidad de probar los impactos salvo por simulación. Se define el “riesgo como una entidad con dos dimensiones: probabilidad y consecuencia(s)” o sea vulnerabilidad e impacto.
En los 70s se habló del Método general de Rasmussen. Qué incluía 6 etapas: Definición del proyecto de seguridad y su sistema objetivo; Análisis funcional de éste; Identificación de riesgos; Modelización del sistema; Evaluación de consecuencias; Síntesis y decisiones finales.
-Segunda Generación G2 (Taxonómica)
Se dio a principios de los años 90 y está basada en modelos de procesos y eventos.
Dentro de esta generación se pueden incluir:
• Modelo de Boehm
• Modelo de Hall y su relación con el de madurez de SEI-CMM
• Modelo de Riesgos del SEI
• Modelo SPR de mejora de capacidad en la gestión del riesgo
-Tercera Generación G3 (Causal)
Esta es la generación actualmente emergente. Arranca con Eurométodo 96, MAGERIT 97, ISPL 98, etc.
Está influenciada por otros modelos ‘causales’ (proyectuales, ‘ecológicos’, etc.).
Los principales modelos de gestión de riesgos propuestos son:
• Modelo MAGERIT de Gestión de Riesgos en Sistemas adaptado a Proyectos
(Transición)
• Modelo de eventos de MAGERIT-Proyectos (Transición)
• Modelo McFarlan (Transición)
• Modelo RiskMan e iniciativa RiskDriver
• Modelo DriveSPI
• Modelo Eurométodo
• Modelo ISPL
• Modelo PRisk
INDICE
RESUMEN…………………………………………………………………………………………………………………………………1
HISTORIA Y EVOLUCIÓN.….………………………………………………………………………………………………………2
.
INDICE....………………………………………………………………………………………………………………………………….4
INTRODUCCION………………………………………….……………………………………………………………………………5
MARCO TEORICO………………………………………….…………………………………………………………………………6
Clasificación y flujo de información
Análisis de riego
Probabilidad de amenaza
Magnitud de daños
MARCO METODOLOGICO………………………………………………………………………………………………………10
Objetivos de la metodologías
Enfoque de análisis de riesgos
Descripción de la metodología básica
Lisis de la metodología básicos
Análisis fundamental de las metodologías Magerit, Octave y Mehar
CONCLUSIONES…………………………………………………………………………………………………………………….14
BIBLIOGRAFIAS……………………………………………………………………………………………………………………15
INTRODUCCION
Esta descripción practica de un análisis de riesgos cuenta con una base teórica, tomando como base tres metodologías reconocidas, la publicada por el NIST en su documento SP 800-30, la metodología FRAAP (Facilitated Risk Analysis and Assessment Process) y MAGERIT de España.
Las etapas de esta metodología y una breve descripción de cada una, se describe a continuación:
1. Declaración del alcance. En esta primera fase se define el motivo para la realización del análisis, la definición del o los procesos a evaluar.
2. Establecimiento
...