RSS

viernes, 28 de noviembre de 2014

METODOLOGÍA OCTAVE



Fue desarrollada por la Universidad Carnegie Mellon en el año 2001, se basa en tres principios Confidencialidad, Integridad y Disponibilidad, se emplea por distintas agencias gubernamentales como el Departamento de defensa de Estados Unidos.

Existen 3 versiones de la metodología:

 
  • - La versión original de OCTAVE
  • - La versión para pequeñas empresa OCTAVE-S
  • - La versión simplificada de la herramienta OCTAVE-ALLEGRO

Cuenta con 3 fases:

1) Evaluación de la organización: Recoge los principales activos, las amenazas y requisitos que pueden afectar a los activos, medidas de seguridad implantadas en los activos y las debilidades organizativas.

2) Identificación de vulnerabilidades a nivel de infraestructura de TI.

3) Desarrolla un plan y una estrategia de seguridad, analizando los riesgos en base al impacto que pueden tener en la misión de la organización.

Además se desarrollan planes para mitigar los riesgos prioritarios y una estrategia de protección para la organización.
 

 

http://www.securityartwork.es/2012/04/02/introduccion-al-analisis-de-riesgos-%E2%80%93-metodologias-ii/

Publicadas por a la/s No hay comentarios.:

jueves, 27 de noviembre de 2014

CONCLUSIÓN





Bueno después de haberles hecho una pequeña descripción de cada una de las metodologías que escogí para comparar teniendo en cuenta que existen más pero las seleccioné según mi criterio y adicionalmente enseguida de haber explicado en el cuadro comparativo de una forma más detallada y sencilla como intervienen cada uno de los procesos con las fases de la Norma ISO 31000 de Gestión de Riesgos, les quiero recomendar que en cuánto se vean en la necesidad de implementar una de éstas metodologías eligan Magerit que a a fecha está en la Versión 3.


¿Por qué recomiendo implementar Magerit?



- Como pueden observar en el cuadro comparativo que diseñé, en las metodologías Magerit e ISO 27005, cada uno de sus procesos intervienen en todas las 7 fases de la Norma ISO 31000. 

- Magerit tiene tan sólo 3 procesos, por lo cual la considero una metodología sencilla de entender. 

- Los procesos 2 y 3 se retrolimentan de forma constante, por tanto se pueden implementar mejoras a la gestión de los riesgos cuando así se requiera y ésto ayuda a mantener una gestión cada vez más sólida después de haber implementado esas mejoras identificadas. 

- Presenta una guía completa y paso a paso de cómo realizar el análisis de riesgos. 

- Por cada uno de sus 3 procesos tienen un libro que nos ayuda a ejecutar cada actividad de forma más específica. 

- El tercer libro de que nos proporciona las guías técnicas es un valor agregrado a comparación con las otras metodologías que no las proporcionan, ya que contiene ejemplos detallados que nos ayudan a entender como utilizarlas. 

- Por estar alineado con los estándares ISO, nos ayuda para el inicio de una certificación.

_______________________________________________________________________

Gracias por visitar mi blog, espero que comenten y realicen sus aportes o puntos de vista.

 




Publicadas por a la/s No hay comentarios.:

COMPARACIÓN DE LOS PROCESOS vs FASES DE LA GESTIÓN DE RIESGOS



A continuación podrán visualizar un cuadro comparativo que he diseñado específicamente para que puedan entender un poco más el resumen detallado de cómo intervienen todos los procesos de cada metodología con cada una de las fases establecidas en la Norma ISO 31000 que es el estándar para la Gestión del Riesgo.
 

1.      OCTAVE: [Pr1=Fs1+Fs2] + [Pr2=Fs3], [Pr3=Fs4+Fs5]
2.      MAGERIT: [Pr1=Fs1] + [Pr2=Fs2+Fs3] + [Pr3=Fs4+Fs5+Fs6+Fs7]
3.      ISO 27005: [Pr1=Fs1] + [Pr2=Fs2+Fs3+Fs4] + [Pr3+Pr4=Fs5] + [Pr6=Fs6] + [Pr5=Fs7]
4.      CRAMM: [Pr1=Fs1] + [Pr2=],[Fs2+Fs3+Fs4] + [Pr3=Fs5]
5.      NIST: [Pr1=Fs1] + [Pr2+Pr3=Fs2] + [Pr4 + Pr8=Fs4+Fs5] + [Pr5+Pr6+Pr7=F3] + [Pr9=F7]

 
Convenciones:

Pr= Proceso de la metodología.
Fs= Fases de la norma 31000.





Publicadas por a la/s No hay comentarios.:

miércoles, 26 de noviembre de 2014

METODOLOGÍA NIST SP800-30



Documento de la serie SP-800 dedicada a la seguridad de la información y desarrollada por el NIST (National Institute of Standards and Techonogy), el cual es una agencia del Departamento de Comercio de los Estados Unidos. La publicación de esta guía data julio de 2002.


 


http://www.securityartwork.es/2012/04/02/introduccion-al-analisis-de-riesgos-%E2%80%93-metodologias-ii/
Publicadas por a la/s No hay comentarios.:

METODOLOGÍA CRAMM



Desarrollado por la Agencia Central de Comunicación y Telecomunicación del gobierno británico. Su versión inicial data de 1987 y la versión vigente es la 5.2.

Incluye 3 etapas:

1) Recoge la definición global de los objetivos de seguridad entre los que se encuentran la definición del alcance, la identificación y evaluación de los activos físicos y software implicados, la determinación del valor de los datos en cuanto a impacto en el negocio y la identificación.

2) Análisis de riesgos, identificando las amenazas que afecta al sistema, así como las vulnerabilidades que explotan dichas amenazas y por último el cálculo de los riesgos de materialización de las mismas.

3) Identificación y selección de las medidas de seguridad aplicadas en la mitad obteniendo los riesgos residuales.
 



http://www.securityartwork.es/2012/03/30/introduccion-al-analisis-de-riesgos-metodologias-i/https://seguridadinformaticaufps.wikispaces.com/Herramienta+de+Evaluacion+de+Riesgo-CRAMM

Publicadas por a la/s No hay comentarios.:

METODOLOGÍA ISO 27005



Estándar internacional para la gestión de riesgos de seguridad de información. Apoya los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001.


ISO 27005 sustituyó a la Gestión de la Información y Comunicaciones Tecnología de Seguridad, la norma ISO / IEC TR 13335-3:1998 y la norma ISO / IEC TR 13335-4:2000. Está concentrada en 24 páginas la Plataforma Tecnológica ISOTools da cumplimiento a las directrices de la gestión del riesgo de la información.


Contempla las siguientes etapas:


1) Establecimiento de plan de comunicación interno y externo.
2) Definición del contexto organizacional interno y externo.
3) Valoración de riesgos tecnológicos.
4) Tratamiento de riesgos tecnológicos.  


http://www.pmg-ssi.com/2014/01/isoiec-27005-gestion-de-riesgos-de-la-seguridad-la-informacion/

Publicadas por a la/s No hay comentarios.:

METODOLOGÍA MAGERIT

 

Fue desarrollada por un equipo del Comité Técnico de Seguridad de los Sistemas de Información y Tratamiento Automatizado de Datos Personales del consejo Superior de Administración Electrónico. Su nombre viene de Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las administraciones públicas.

Se han realizado 2 versiones:

1) Data de 1997 y la versión vigente data de 2005.

2) Está compuesta de 3 libros:

- Método, describe las tareas a realizar aportando una guía para el desarrollo de análisis de riesgos, aspectos prácticos y consejos para facilitar la tarea.

- Catálogo de elementos, recoge el catálogo de elementos en el análisis de riesgos tales como: categorización de activos, las dimensiones aplicables (DICAT), criterios para valoración de activos, catálogo de amenazas y un catálogo de medidas a implantar para mitigar los riesgos de los sistemas de información. La valoración de las amenazas se establece mediante 2 parámetros: frecuencia y degradación.    

- Guía de Técnicas, proporciona técnicas para el análisis de riesgos tales como: Algoritmos de análisis, árboles ataque, análisis coste-beneficio, diagramas de flujo, tablas de procesos o técnicas de trabajo.


Publicadas por a la/s No hay comentarios.:
Suscribirse a: Entradas (Atom)

Dale me gusta en Facebook