Professional Documents
Culture Documents
Hoy en da toda empresa que maneje su informacin o que haga uso de las
tecnologas de informacin debe de tener algo de seguridad en su informacin para
lograr esto es necesario identificar los riesgos, vulnerabilidades y amenazas que
puede correr su informacin dentro y fuera de empresa, ya que esto puede causar
prdidas financieras para las empresas es por eso que existen algunas metodologas
que apoyan o ayudan a las empresas a tener o llevar un control adecuado sobre su
informacin.
En este documento to se tratan algunas metodologas de las ms comunes, aunque
existen ms que tambin son buenas eso ya depender de las necesidades de la
empresa y un anlisis previo.
Metodologa Mehari
Mehari consiste en un mtodo para la evaluacin y gestin del riesgo derivada de
Melissa y Marion.
Esta metodologa contiene se apoya de algunas herramientas como lo son crticos de
evaluacin, formulas y algunos conocimientos obtenidos para el diagnstico de las
medidas de seguridad, en base a esto se hace una seleccin de los planes de
tratamiento adecuado dependiendo del problema.
Se orienta bsicamente en la evaluacin y reduccin de riesgos teniendo como
fundamentos principales:
conocimientos
Los comentarios
en
la
base
de
de riesgo
Escala de valores de mal funcionamiento
o predefinida clasificacin
Los comentarios en la
base
de
recuperacin
de riesgo
Aceptabilidad del riesgo especfico de la
empresa o estndar.
Decisin sobre si el riesgo es aceptable
Metodologa Octave
Este mtodo para poder analizar las cuestiones de organizacin y tecnologa se basa
en 3 fases las cuales son:
Comparativa
CRAMM
Magerit
Mehari
Octave
Fase
s
Cara
cter
stica
s
Niveles de
categoras de
controles
Niveles de calidad
de los servicios de
seguridad
Evaluacin de la
calidad del servicio
por medio de
cuestionarios
Tabla modelo de
impactos
*Su modelo de
riegos que pueden
ser cualitativos o
cuantitativos.
*Anlisis de las
medidas de
seguridad que se
tienen
actualmente o las
que estn
previstas.
*Evaluar los
niveles de riesgo
que se derivan de
las medidas
adicionales.
En una comparativa se evaluaron diversos criterios que tienen cada uno de los
mtodos de acuerdo a la informacin recabada.
1.- Construcc
de las
vulnerabilida
basadas en l
activos (visi
organizacion
2- Identificac
de las
vulnerabilida
de la
infraestructu
(visin
tecnolgica)
3- Desarrollo
estrategia de
seguridad y p
de mitigacin
las
vulnerabilidad
(estrategia y
* Acercamien
basado en
workshop don
personas de
distintos nive
la organizaci
trabajan para
identificar las
vulnerabilidad
basndose en
activos * Cat
de la informac
Catlogos de
prcticas, Per
activos, catl
de vulnerabili
Conclusiones
En caso de que se realizara un anlisis de riesgo en la universidad de acuerdo a la
informacin que se tiene de cada una de las metodologas entre las que ms se
pudieran aplicar o seria ms viable serian la metodologa de CRAMM o la de Octave
ya que la de CRAMM se identifica el problema y valora y se hace un plan estratgico
que es lo ms conveniente en la escuela se revisaran las amenazas y el riesgo que
tiene cada una en base a eso tomar una estrategia preventiva y el de octave consiste
en que un grupo de miembros del departamento de IT que sea de la misma
organizacin pueda identificar los activos de la empresa en este caso la universidad
entonces sera bueno que en este caso el equipo de Servicios escolares que son los
que tienen ms conocimiento de la infraestructura y pertenecen a la misma empresa
puedan hacer un anlisis y crear medidas de seguridad.
Bibliografa
http://metodevaluriesgos.blogspot.mx/2014/03/metodos-para-realizar-evaluacionde.html
http://www.securityartwork.es/2012/04/02/introduccion-al-analisis-de-riesgos%E2%80%93-metodologias-ii/
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003online/33_leccin_13_otras_metodologas_octave_nist_cramm_y_mehari.html
http://www.cert.org/resilience/products-services/octave/index.cfm