Metodologias

METODOLOGÍAS DE ANÁLISIS DE RIESGOS INFORMATICOS

MARGERIT

La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de las tecnologías de la información, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.

MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

Función

• Análisis de Riesgos

• Gestión de Riesgos

OCTAVE

OCTAVE apunta a dos aspectos diferentes: riesgos operativos y prácticas de seguridad. La tecnología es examinada en relación a las prácticas de seguridad, permitiendo a las compañías tomar decisiones de protección de información basados en los riesgos de confidencialidad, integridad y disponibilidad de los bienes relacionados a la información crítica.

El método OCTAVE permite la comprensión del manejo de los recursos, identificación y evaluación de riesgos que afectan la seguridad dentro de una organización.

Exige llevar la evaluación de la organización y del personal de la tecnología de la información

por parte del equipo de análisis mediante el apoyo de un patrocinador interesado en la seguridad.

El método OCTAVE se enfoca en tres fases para examinar los problemas organizacionales y tecnológicos:

• Identificación de la información a nivel gerencial.

• Identificación de la información a nivel operacional.

• Identificación de la información a nivel de usuario final.

Estos tres pasos dan lugar a otros 5 procesos para completar los 8 puntos de los que consta

• Consolidación de la información y creación de perfiles de amenazas.

• Identificación de componentes claves.

• Evaluación de componentes seleccionados.

• Análisis de riesgos de los recursos críticos.

• Desarrollo de estrategias de protección.

MEHARI

Durante más de diez años, MEHARI ha proporcionado una metodología estructurada para la evaluación del riesgo3, basado en unos principios básicos.

Una situación de riesgo está caracterizada por varios factores:

• Factores estructurales que no dependen de medidas de seguridad, pero si de la actividad principal de la organización, su entorno, y su contexto.

• Factores de reducción de riesgo que son una función directa de medidas

...