Metodologias de Seguridad Informatica

Introduccin
Hoy en da toda empresa que maneje su informacin o que haga uso de las
tecnologas de informacin debe de tener algo de seguridad en su informacin para
lograr esto es necesario identificar los riesgos, vulnerabilidades y amenazas que
puede correr su informacin dentro y fuera de empresa, ya que esto puede causar
prdidas financieras para las empresas es por eso que existen algunas metodologas
que apoyan o ayudan a las empresas a tener o llevar un control adecuado sobre su
informacin.
En este documento to se tratan algunas metodologas de las ms comunes, aunque
existen ms que tambin son buenas eso ya depender de las necesidades de la
empresa y un anlisis previo.
Metodologa Mehari
Mehari consiste en un mtodo para la evaluacin y gestin del riesgo derivada de
Melissa y Marion.
Esta metodologa contiene se apoya de algunas herramientas como lo son crticos de
evaluacin, formulas y algunos conocimientos obtenidos para el diagnstico de las
medidas de seguridad, en base a esto se hace una seleccin de los planes de
tratamiento adecuado dependiendo del problema.
Se orienta bsicamente en la evaluacin y reduccin de riesgos teniendo como
fundamentos principales:
Su modelo de riegos que pueden ser cualitativos o cuantitativos.

Anlisis de las medidas de seguridad que se tienen actualmente o las que
estn previstas.
Evaluar los niveles de riesgo que se derivan de las medidas adicionales.
El proceso de anlisis de riesgo mediante esta metodologa llega a ser de la siguiente

manera:
Identificacin del Riesgo
Solucin de Mehari
Identificacin de la situacin del riesgo
Evaluacin de una postura natural
Mesa de exposicin estndar.
Los comentarios en la base mundial de
Evaluacin de factores preventivos
conocimientos
Los comentarios
en
la
base
de
conocimientos de clculo automatizado

Evaluacin de potencialidades
de estado global de la auditora anterior.

Tablas de decisin estndar o especficas
de la empresa, en funcin de la situacin
Evaluacin de factores intrnsecos
de riesgo
Escala de valores de mal funcionamiento
Evaluacin de factores de proteccin y de
o predefinida clasificacin
Los comentarios en la
base
de
recuperacin
conocimientos de clculo automatizado
Evaluacin de reduccin de impacto
de estado global de la auditora anterior.

Tablas de decisin estndar o especficas
de la empresa, en funcin de la situacin
Evaluacin de riesgos globales
de riesgo
Aceptabilidad del riesgo especfico de la
empresa o estndar.
Decisin sobre si el riesgo es aceptable
Metodologa Octave
Este mtodo para poder analizar las cuestiones de organizacin y tecnologa se basa
en 3 fases las cuales son:
Contemplar la evaluacin de la organizacin, se evalan los activos de la
empresa contra las amenazas.

La segunda se analizan las vulnerabilidades a nivel de la infraestructura.
Por ultimo con toda la informacin recabada se realiza un plan y una estrategia
de seguridad, en base a los riesgos antes analizados y de cmo impactaran en
la empresa.
Se apoyan en algunos niveles de organizacin como lo son:
Identificar los elementos crticos y las amenazas.

Identificacin de las vulnerabilidades organizativas y las tecnolgicas que
tienen un riesgo para la organizacin.

Desarrollo de un plan de estrategia de proteccin que se basa en la prctica y
la mitigacin de los riesgos dependiendo de las prioriodades de la
organizacin.
Para poder realizar esto se tiene el apoyo de documentacin como lo es un catlogo

de buenas prcticas ya sean encuestas y hojas de trabajo.
Comparativa
CRAMM
Magerit
Mehari
Octave
Fase
s
Cara
cter
stica
s
1- Planificacin del Proyecto de

1- Identificacin y
Riesgos (como
valoracin de
consideraciones iniciales para
activos (se
arrancar el proyecto de
identifican los
Anlisis y Gestin de Riesgos)
activos fsicos,
2- Anlisis de riesgos (Se
software, y los
identifican y valoran las
activos de datos
diversas entidades,
que conforman
obteniendo una evaluacin
los sistemas de
del riesgo, as como una
informacin)
estimacin del umbral de
2- Valoracin de
riesgo deseable)
las amenazas y
3- Gestin de riesgos (Se
vulnerabilidades
identifican las funciones y
(determinar cul
servicios de salvaguarda
es la
reductoras del riesgo)
probabilidad de
4- Seleccin de salvaguardas
que esos
(plan de implantacin de los
problemas
mecanismos de salvaguarda
ocurran)
elegidos)
3- Seleccin y
recomendacin
de
contramedidas
(CRAMM
contiene una
gran librera de
ms de 3000
contramedidas
organizadas en
70 grupos)
* Habla de anlisis algortmico
* > 400 tipos de
con 3 modelos: cualitativo,
activos * 38 tipos
cuantitativo y escalonado * En la de amenazas * >
versin 2 posee 3 documentos:
25 tipos de
Catalogo, Mtodo y Tcnicas
impactos * 7
medidas de riesgo
* > 3500 controles
Niveles de
categoras de
controles
Niveles de calidad
de los servicios de
seguridad
Evaluacin de la
calidad del servicio
por medio de
cuestionarios
Tabla modelo de
impactos
*Su modelo de
riegos que pueden
ser cualitativos o
cuantitativos.
*Anlisis de las
medidas de
seguridad que se
tienen
actualmente o las
que estn
previstas.
*Evaluar los
niveles de riesgo
que se derivan de
las medidas
adicionales.
En una comparativa se evaluaron diversos criterios que tienen cada uno de los
mtodos de acuerdo a la informacin recabada.
1.- Construcc
de las
vulnerabilida
basadas en l
activos (visi
organizacion
2- Identificac
de las
vulnerabilida
de la
infraestructu
(visin
tecnolgica)
3- Desarrollo
estrategia de
seguridad y p
de mitigacin
las
vulnerabilidad
(estrategia y
* Acercamien
basado en
workshop don
personas de
distintos nive
la organizaci
trabajan para
identificar las
vulnerabilidad
basndose en
activos * Cat
de la informac
Catlogos de
prcticas, Per
activos, catl
de vulnerabili
Conclusiones
En caso de que se realizara un anlisis de riesgo en la universidad de acuerdo a la
informacin que se tiene de cada una de las metodologas entre las que ms se
pudieran aplicar o seria ms viable serian la metodologa de CRAMM o la de Octave
ya que la de CRAMM se identifica el problema y valora y se hace un plan estratgico
que es lo ms conveniente en la escuela se revisaran las amenazas y el riesgo que
tiene cada una en base a eso tomar una estrategia preventiva y el de octave consiste
en que un grupo de miembros del departamento de IT que sea de la misma
organizacin pueda identificar los activos de la empresa en este caso la universidad
entonces sera bueno que en este caso el equipo de Servicios escolares que son los
que tienen ms conocimiento de la infraestructura y pertenecen a la misma empresa
puedan hacer un anlisis y crear medidas de seguridad.
Bibliografa
http://metodevaluriesgos.blogspot.mx/2014/03/metodos-para-realizar-evaluacionde.html
http://www.securityartwork.es/2012/04/02/introduccion-al-analisis-de-riesgos%E2%80%93-metodologias-ii/
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003online/33_leccin_13_otras_metodologas_octave_nist_cramm_y_mehari.html
http://www.cert.org/resilience/products-services/octave/index.cfm

Metodologias de Seguridad Informatica

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Metodologias de Seguridad Informatica

Uploaded by

Copyright:

Available Formats

Introduccin

Su modelo de riegos que pueden ser cualitativos o cuantitativos.

El proceso de anlisis de riesgo mediante esta metodologa llega a ser de la siguiente

conocimientos de clculo automatizado

de estado global de la auditora anterior.

Evaluacin de factores intrnsecos

Evaluacin de factores de proteccin y de

conocimientos de clculo automatizado

Evaluacin de reduccin de impacto

de estado global de la auditora anterior.

Evaluacin de riesgos globales

Contemplar la evaluacin de la organizacin, se evalan los activos de la

empresa contra las amenazas.

Se apoyan en algunos niveles de organizacin como lo son:

Identificar los elementos crticos y las amenazas.

tienen un riesgo para la organizacin.

Para poder realizar esto se tiene el apoyo de documentacin como lo es un catlogo

1- Planificacin del Proyecto de

You might also like