El objetivo
de la información registrada a continuación es
identificar las más importantes metodologías en cuanto al análisis de
riesgos y vulnerabilidades en una Organización.
Antes de
ver sus principales características es importante determinar que los
Riesgos son un factor presente en toda organización, y de su adecuada
gestión frente a las Tecnologías de TI depende en muchas ocasiones el éxito de
la misma.
El gran reto es enfrentar esta problemática para lo cual se debe contar con una metodología apta para el análisis y mitigación del riesgo existente, ya que de lo contrario difícilmente es posible generar valor para la entidad.
METODOLOGÍA OCTAVE
Para una entidad que busca
necesidades de seguridad en la información, la metodología OCTAVE usa tres
fases para examinar el riesgo en una organización respecto a aspectos
tecnológicos y organizacionales, en su enfoque define un riesgo
basándose en la evaluación y técnicas de planificación, para OCTAVE la
seguridad es auto dirigida, que significa que las personas que componen la
organización asumen la responsabilidad de fijar la estrategia de
seguridad de la organización.
En la siguiente figura se detalla el ciclo de cada una de las fases con sus respectivas salidas en el proceso OCTAVE.
El método toma ventaja del conocimiento de los múltiples niveles de la organización enfocándose en:
- · Identificar los activos críticos, las amenazas y los activos
- · Identificar las vulnerabilidades, tanto organizativas como tecnológicas, exponer las amenazas, y el riesgo creado a la organización
- · El desarrollo de la mitigación práctica basada en la estrategia de protección y riesgo, los planes para apoyar la misión de la organización y las prioridades.
METODOLOGIA MAGERIT
Basada en enfatizar la division de los activos de la organización en múltiples grupos, y así poder determinar más riesgos y poder tomar contra-medidas para evitar inconvenientes de carácter critico.
Esta metodologia aplica el siguinte ciclo:
esta metodología contiene tres volúmenes:
Volumen I – Método, es el volumen principal que explica en detalle la metodología.
Volumen II – Catálogo de elementos, proporciona diversos inventarios de utilidad en la
aplicación de la metodología como activos, amenazas, salvaguardas etc.
Volumen III – Guía de técnicas, complementa el volumen principal proporcionando una introducción de algunas de técnicas a utilizar en las distintas fases del análisis de riesgos.
METODOLOGÍA NIST
A cargo del Instituto Nacional de Normas y Tecnología el cual determino las siguientes objetivos propuestos:
A cargo del Instituto Nacional de Normas y Tecnología el cual determino las siguientes objetivos propuestos:
- Mejoramiento de sistemas Informáticos
- Permitir y Gestionar Riesgos
- Evaluar Riesgos
- Mejorar la administración a partir de resultados de análisis
Los pasos definidos con NIST se describen a continuación
Esta metodología proporciona directrices para las organizaciones en la planificación y realización de las pruebas de seguridad de la información y evaluaciones de la seguridad técnica, análisis de los resultados y el desarrollo de la mitigación estrategias como fin principal.
ISO/IEC
27005
Sus principales características son:
- no brinda ninguna metodología específica para la gestión del riesgo en la seguridad de la información
- genera directrices para la gestión del riesgo.
Fuente: https://seguinfo.wordpress.com/2008/06/18/iso-270052008-gestion-de-riesgos/
las metodologías anteriores están enfocadas en el apoyo a las organizaciones para la
mitigación del riesgo por medio de directrices muy estrictas las cuales dependiendo de cada organización son adaptadas según sus necesidades y planteamiento de objetivos esperados donde la única afirmación posible es que dependiendo del grado de compromiso de cada organizacion y su trabajo en equipo estará basado el éxito de la metodología aplicada.