Professional Documents
Culture Documents
SEGURIDAD DE LA
INFORMACIÓN
Ing. Ana E. Congacha, Ms.C
UNIDAD III:
Sistema de Gestión
de la Seguridad
Análisis y gestión de riesgos
Para tratar de minimizar los efectos de un problema de
seguridad se realiza el denominado: ANALISIS DE RIESGOS.
CUANTITATIVO CUALITATIVO
• El menos utilizado • Uso muy común en la actualidad.
• Más difícil de estimar y poco realista • Sencillo e intuitivo - cuantitativo
• Se basa en 2 parámetros: probabilidad • Se puede medir ciertos parámetros:
de que se produzca un suceso, y una • Riesgo de amenaza: escalas elevado,
estimación del coste o de las perdidas. medio, bajo.
• EAC: Estimated Annual Cost • Gravedad del ataque: 1,2,3
• ALE: Annual Loss Expectancy • Daño: vital, crítico, importante, conveniente,
• Apropiado para grandes instalaciones. informativo.
• Se utiliza la perdida potencial estimada.
• Metodologías de análisis de riesgos
• Referencia: Libro seguridad de la información, cualitativas utilizan un conjunto de
Javier Areitio pag. 56, Tabla 2,1 elementos interrelacionados como son:
amenazas, vulnerabilidad, controles.
Metodologías de análisis - gestión de riesgos
ITIL: Information Technology Infraestructure Library “proporciona un planteamiento sistemático para la provisión de servicios de TI con calidad”. (Jan van
Bon, 2008)
COBIT 5: Significa (Objetivos de control para la información y tecnologías relacionadas) es una metodología publicada en 1996 por el Instituto de Control de
TI y la ISACA (Asociación de Auditoría y Control de Sistemas de Información).
ISO 31000: Esta normativa establece principio y guías para diseñar, implementar mantener la gestión de los riesgos en forma sistemática y de transparencia
de toda forma de riesgo, por ejemplo: financiera, operativa, de mercadeo, de imagen, y de seguridad de información.
Citicus One: software comercial de Citicus, implementa el método FIRM del Foro de Seguridad dela Información;
CRAMM: “CCTA Risk Assessment and Management Methodology” fue originalmente desarrollado para uso del gobierno de UK pero ahora es propiedad de
Siemens;
MAGERIT “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información” está disponible tanto en español como en inglés.
OCTAVE: “Operationally Critical Threat, Asset, and Vulnerability Evaluation” Metodología de Análisis y Gestión de Riesgos desarrollada por el CERT;
NIST SP 800-30: Guía de Gestión de Riesgos de los Sistemas de Tecnología de la Información, esgratuito;
Mehari: Método de Gestión y Análisis de Riesgos desarrollado por CLUSIF (Club de la Sécurité de l'Information Français);
AS/NZS: Norma de Gestión de Riesgos publicada conjuntamente por Australia y Nueva Zelanda y ampliamente utilizada en todo el mundo.
Herramientas de apoyo