top of page

Metodologías de Gestión de Riesgos

a. NIST SP 800-30

2010 - present

2010 - present

b. ISO/IEC 31000
c. AS/NZS 4360:2004
d. Gestión de riesgos según Microsoft
e. OCTAVE

OCTAVE es un enfoque para las evaluaciones de los riesgos de seguridad de la información que es sistemático. El enfoque señala un conjunto de criterios que definen los elementos esenciales de una evaluación de riesgos de seguridad de la información. Dichos criterios requieren catálogos de información para medir las prácticas organizacionales, analizar amenazas y construir estrategias de protección. Estos catálogos son:

 

  • Catálogos de prácticas: Una colección de buenas prácticas de estrategias y seguridad operacional.

  • Perfil genérico de amenazas: Un colección de principales fuentes de amenazas.

  • Catálogo de vulnerabilidad: Una colección de vulnerabilidades basada en la plataforma y aplicación.

 

En general, la guía de implementación del método incluye:

 

  • Volumen 1: Introducción: Incluye una descripción de OCTAVE, algunas sugerencias tales como  al análisis del entrenamiento del equipo.

  • Volumen 2: Actividades preliminares: Incluye la selección del equipo y participantes de análisis, la programación y logística. En adición, se brinda un orientación para las sesiones con la alta gerencia.

  • Volumen 3-12: Provee un conjunto completo de información para las tres fases y ocho procesos del método OCTAVE. Cada proceso es documentado en su propio volumen que incluye una introducción, un resumen de procesos, directrices detalladas de procesos.

  • Volumen 3: Fase 1, proceso 1: Identificar el conocimiento de la alta dirección.

  • Volumen 4: Fase 1, proceso 2: Identificar el conocimiento de gestión del área operacional.

  • Volumen 5: Fase 1, proceso 3: Identificar el conocimiento del Staff.

  • Volumen 6: Fase 1, proceso 4: Crear perfiles de amenazas.

  • Volumen 7: Fase 2, proceso 5: Identificar los componentes principales.

  • Volumen 8: Fase 2, proceso 6: Evaluar los componentes seleccionados.

  • Volumen 9: Fase 3, proceso 7: Conducir el análisis de riesgos

  • Volumen 10: Fase 3, proceso 8, taller A: Desarrollar la estrategia de protección.

  • Volumen 11: Fase 3, proceso 8, taller B: Seleccionar la estrategia de protección.

  • Volumen 12: Libro de perfil de activos.

  • Volumen 13: Después de la evaluación: Esta sección provee orientación con un ejemplo que explica que hacer una vez que la evaluación haya terminado.

  • Volumen 14: Bibliografía y glosario.

  • Volumen 15: Apéndice A: Catálogo de buenas prácticas OCTAVE.

  • Volumen 16: Apéndice B: Flujo de datos OCTAVE.

  • Volumen 17: Apéndice C: Resultados de ejemplos completos.

  • Volumen 18: Apéndice D y E: Notas técnicas.

 

Las tres fases y sus ocho procesos son descritas a continuación:

 

  • Fase 1: Construir perfiles de amenazas basados en los activos: El equipo de análisis determina que activos son los más importantes para la organización e identifica que está actualmente siendo hecho para proteger esos activos. Sus procesos son:

    • Proceso 1: Identificar el conocimiento de la alta dirección: Seleccionado los altos gerentes, identificar los importantes activos, amenazas percibidas, requerimientos de seguridad, prácticas actuales de seguridad, y vulnerabilidades de la organización.

    • Proceso 2: Identificar el conocimiento de gestión del área operacional: Seleccionados los gerentes de las áreas operacionales, identificar activos importantes, amenazas percibidas, requerimientos de seguridad, prácticas de seguridad actuales y vulnerabilidades de la organización.

    • Proceso 3: Identificar el conocimiento del Staff. Seleccionados los miembros de apoyo de TI, identificar activos importantes, amenazas percibidas, requerimientos de seguridad, prácticas de seguridad actuales y vulnerabilidades de la organización.

    • Proceso 4: Crear perfiles de amenazas: El equipo de análisis trabajará con la información de los procesos 1 al 3, selecciona los activos críticos, refina los requerimientos de seguridad asociados e identifica las amenazas de esos activos, creando los perfiles de amenazas.

  • Fase 2: Identificar la infraestructura de las vulnerabilidades: Es una evaluación de la estructura de la información. El equipo análisis examina los componentes operacionales principales para la debilidad que puedan dirigir una acción no autorizada en contra de los activos críticos. Sus procesos son:

    • Proceso 5: Identificar los componentes principales: El equipo de análisis identifica los sistemas y componentes de tecnología de información principales para cada activo crítico. Los casos específicos son seleccionados para evaluación.

    • Proceso 6: Evaluar componentes seleccionados: El equipo de análisis examina los sistemas y componentes principales para las debilidades tecnológicas. Las herramientas de vulnerabilidad (software, lista de verificación, scripts) son usadas.

    • Fase 3: Desarrollar planes y estrategias de seguridad. Durante esta parte de la evaluación, el equipo de análisis identifica riesgos a los activos críticos de la organización y decide qué hacer con ellos. Los procesos de esta fase son:

    • Proceso 7: Conducir el análisis de riesgos: El equipo de análisis identifica el impacto de amenazas para los activos de críticos, crea el criterio para evaluar esos riesgos y evaluar el impacto basado en esos criterios. Esto produce un perfil de riesgo para cada actividad crítica.

    • Proceso 8: Desarrollar la estrategia de protección. El equipo de análisis crea una estrategia de protección para los planes de mitigación y organización para los activos críticos, en base a un análisis de información recolectada. La alta dirección entonces revisa, refina y aprueba los planes y estrategias.

f. ETSI (Instituto europeo de normas de telecomunicaciones)
g. MAGERIT

Objetivos

MAGERIT busca lograr los siguientes objetivos:

 

  • Hacer que los responsables de los sistemas de información concienticen de la existencia de los riesgos y la necesidad de tratarlos en tiempo.

  • Ofrecer un método sistemático para analizar esos riesgos.

  • Ayudar en describir y planificar las apropiadas medidas para mantener los riesgos bajo control.

  • Preparar a la organización en el proceso de evaluar, auditar, certificar o acreditar en cada caso.

  • Lograr uniformidad en los reportes que contienen los resultados y conclusiones de un análisis de riesgos y gestión del proyecto, recomendando el siguiente formato:

  • Modelo de valor: Descripción del valor de los activos para una organización así como las dependencias entre varios activos.

  • Mapa de riesgos: La cuenta de amenazas en que cada activo está expuesto.

  • Evaluación para salvaguardar: Evaluación de la efectividad de la existencia de salvaguardas en relación a los riesgos que enfrentar.

  • Estado del riesgo: Clasificación de los activos por el riesgo residual, es decir, por lo que podría pasar tomando las garantías usando en consideración.

  • Reporte de deficiencias: Ausencia o debilidad en las garantías que apareen adecuadas para reducir los riesgos de un sistema.

  • Plan de seguridad. Grupo de programas de seguridad que colocan las decisiones de gestión de riesgos en acción.

 

La gestión del riesgo es la estructuración de las acciones de seguridad para satisfacer las necesidades detectadas a través de análisis.

Enfoque

MAGERIT brinda también un énfasis en las incidencias y recuperación. Las personas involucradas deben ser conscientes de su rol y funciones para prevenir problemas y reaccionar cuando éstos ocurran.

 

El método MAGERIT esta capturado gráficamente en la siguiente figura que asume las garantías que serán desplegados para reducir el riesgo para un riesgo residual aceptable.

 

Las garantías discutidas incluyen:

  • Garantías técnicas: en aplicaciones, equipos y comunicaciones.

  • Garantías físicas: proteger el entorno de trabajo para personas y equipos.

  • Medidas de la organización: para prevenir y gestionar incidentes.

 

Política del personal: Que en última instancia es el paso esencial y delicado, una política para contratar, permanente entrenamiento, reporte de incidentes de la organización, planes de reacción, medidas disciplinarias.

bottom of page