Metodologias de Seguridad Informatica

Introducción Hoy en día toda empresa que maneje su información o que haga uso de las tecnologías de información debe de tener algo de seguridad en su información para lograr esto es necesario identificar los riesgos, vulnerabilidades y amenazas que puede correr su información dentro y fuera de empresa, ya que esto puede causar pérdidas financieras financieras para las empresas es por eso que existen algunas algunas metodologías que apoyan o ayudan a las empresas a tener o llevar un control adecuado sobre su información. n este documento to se tratan algunas metodologías de las m!s comunes, aunque existen m!s que también son buenas eso ya depender! de las necesidades de la empresa y un an!lisis previo.

Metodología Mehari "ehari consiste en un método para la evaluación y gestión del riesgo derivada de "elissa y "arion. sta metodología contiene se apoya de algunas herramientas como lo son críticos de evaluación, formulas y algunos conocimientos obtenidos para el diagnóstico de las medidas de seguridad, en base a esto se hace una selección de los planes de tratamiento adecuado dependiendo del problema. #e orienta b!sicamente en la evaluación y reducción de riesgos teniendo como fundamentos principales$ principales$ • •

•

#u modelo de riegos que pueden ser cualitativos o cuantitativos.  %n!lisis de las las medidas de seguridad seguridad que se tienen actualmente actualmente o las que est!n previstas. valuar los niveles de riesgo que se derivan de las medidas adicionales.

l proceso de an!lisis de riesgo mediante esta metodología llega a ser de la siguiente manera$ &dentificación del 'iesgo #olución de "ehari &dentificación de la situación del riesgo valuació ción de una postur tura natur tural "esa de exposició ción est!ndar. (os comentarios en la base mundial de valuación de factores preventivos

conocimientos (os comentarios

en

la

base

de

conocimi conocimiento entos s de c!lculo c!lculo automati automatizado zado valuación de potencialidades

de estado global de la auditoría anterior. )ablas de de de decisión es est!ndar o específicas de la empresa, en función de la situación

valuació ción de de fa factor tores in intrínsecos

de riesgo scala de va valores de ma mal fun funcionamiento

val valu uació ción de fact facto ores res de prote rotecc cciión y de

o predefinida predefinida clasificación (os (os come comen ntari tario os en la

base

de

recuperación

conocimientos de c!lculo automatizado

valuación de reducción de impacto

de estado global de la auditoría anterior. )ablas de decisión est!ndar o específicas de la empresa, en función de la situación

valuación de riesgos globales

de riesgo %ceptabilidad del riesgo específico de la

empresa o est!ndar. *ecisión sobre si el riesgo es aceptable

Metodología Octave ste método para poder analizar las cuestiones de organización y tecnología se basa en + fases las cuales son$ •

ontemplar la evaluación de la organización, se eval-an los activos de la

•

empresa contra las amenazas. (a segunda se analizan las vulnerabilidades a nivel de la infraestructura. or ultimo con toda la información recabada se realiza un plan y una estrategia

•

de seguridad, en base a los riesgos antes analizados y de cómo impactaran en la empresa. #e apoyan en algunos niveles de organización como lo son$

•

&dentificar los elementos críticos y las amenazas. &dentificación de las vulnerabilidades organizativas y las tecnológicas que

•

tienen un riesgo para la organización. *esarrollo de un plan de estrategia de protección que se basa en la pr!ctica y

•

la mitigación de los riesgos dependiendo de las prioriodades de la organización. ara poder realizar esto se tiene el apoyo de documentación como lo es un cat!logo de buenas pr!cticas ya sean encuestas y hojas de trabajo.

Comparativa CRAMM

Magerit

Mehari

Octave

Fase s

1- Planifcación del Proyecto de 1- &dentifcación y /iveles de Riesgos (como valoración de categor"as de consideraciones iniciales para activos (se controles arrancar el proyecto de identifcan los Análisis y Gestión de Riesgos) activos $"sicos, /iveles de calidad 2- Análisis de riesgos (Se so$t'are, y los de los servicios de identifcan y valoran las activos de datos seg!ridad diversas entidades, !e con$orman oteniendo !na eval!ación los sistemas de 0val!ación de la del riesgo, as" como !na in$ormación) calidad del servicio estimación del !mral de 2- aloración de por medio de riesgo deseale) las amena*as y c!estionarios #- Gestión de riesgos (Se v!lnerailidades identifcan las $!nciones y (determinar c!ál  ala modelo de servicios de salvag!arda es la impactos red!ctoras del riesgo) proailidad de %- Selección de salvag!ardas !e esos (plan de implantación de los prolemas mecanismos de salvag!arda oc!rran) elegidos) #- Selección y recomendación de contramedidas (+RA contiene !na gran lirer"a de más de # contramedidas organi*adas en . gr!pos) Cara 4 5ala de análisis algor"tmico 4 8 % tipos de 4S! modelo de cterí  con # modelos6 c!alitativo, activos 4 #9 tipos riegos !e p!eden stica c!antitativo y escalonado 4 0n la de amena*as 4 8 ser c!alitativos o s versión 2 posee # doc!mentos6 2: tipos de c!antitativos 4Análisis de las +atalogo, 7todo y 7cnicas impactos 4 . medidas de medidas de riesgo seg!ridad !e se 4 8 #: controles tienen act!almente o las !e están previstas 40val!ar los niveles de riesgo !e se derivan de las medidas adicionales.

n una comparativa se evaluaron diversos criterios que tienen cada uno de los métodos de acuerdo a la información recabada.

1- +onstr!c de las v!lnerailid asadas en l activos (visi organi*acion 2- &dentifca de las v!lnerailid de la in$raestr!ct! (visión tecnológica) #- 3esarroll estrategia de seg!ridad y de mitigació las v!lnerailida (estrategia y

4 Acercamien asado en 'or;s