Subido por miguel Quijano

seguirdad informatica

Anuncio
Centro universitario Felipe Carrillo Puerto
Licenciatura en Informática y Sistemas de Seguridad
Seguridad informática
Tercer cuatrimestre
Examen parcial
Metodologías de análisis de riesgos
Integrantes:
Miguel Angel Quijano Pech
Las metodologías de análisis de riesgo son técnicas que se utilizan para medir el nivel de riesgo de
un proyecto, organización o tarea. Estas nos ayudar para implementar medias de protección,
prevención o reducir su impacto.
En este ensayo abordaremos cinco metodologías, desglosando sus ventajas, desventajas y su
método uso, para llegar a la conclusión de cual será la mejor.
Metodología Octave
Octave es una metodología para identificación y evaluación de riesgos de la seguridad de la
información desarrollado en la universidad de Carnegie Mellon. OCTAVE significa Operationally
Critical Threat Asset, and Vulnerabiity evaluation.
El objetivo de OCTAVE radica en el riesgo organizacional y su punto central va relacionado a la
estrategia y a la práctica.
El equipo de trabajo (conformado desde la parte operativa, administrativa, de tecnología y
sistemas e inclusive la parte gerencial) cuando aplica la metodología en estudio, trabajan
mancomunadamente enfocados a las necesidades de seguridad, equiparando tres aspectos o ejes
claves a saber: Riesgos Operativos, Prácticas de seguridad y Tecnología.
Ventajas
•
•
•
•
Es una metodología auto dirigida
Comprende los procesos de análisis y gestión de riesgos.
Involucra a todo el personal de la entidad.
Se considera de las más completas.
Desventajas
•
•
•
No toma en cuenta el principio de no repudio de la información como objetivo de
seguridad.
Usa muchos documentos anexos.
Requiere de profundos conocimientos técnicos.
La metodología OCTAVE la conforman tres fases o etapas, propuestas desde una “visión”, así:
•
•
•
Visión de organización: En esta fase es donde son precisados elementos como activos,
vulnerabilidades de organización, amenazas, requerimientos de seguridad y
normatividades existentes vigentes.
Visión tecnológica: Aquí son clasificados dos elementos: los componentes claves y
vulnerabilidades técnicas.
Planificación de las medidas y reducción de los riesgos: En esta tercera fase o etapa, son
categorizados elementos como la evaluación de los riesgos, las estrategias de protección,
ponderación de los riesgos y finalmente, el plano de reducción de los riesgos
La metodología OCTAVE se divide en 3 métodos
1
•
•
•
MÉTODOS OCTAVE Monta una visión clara de la organización y sus necesidades de
información y seguridad de la misma OCTAVE-S Está adaptado a los limitados medios y
restricciones únicas de las pequeñas organizaciones.
MÉTODO OCTAVE-S Fue desarrollado en respuesta a las necesidades de
organizaciones más pequeñas alrededor de 100 personas o menos. Cumple con los
mismos criterios que el método OCTAVE pero está adaptado a los limitados medios y
restricciones únicas de las pequeñas organizaciones. OCTAVE-S utiliza un proceso
simplificado y más hojas de trabajo diferentes, pero produce el mismo tipo de
resultados Se diferencia de las demás versiones porque: Requiere un pequeño equipo
de 3-5 personas que entienden la amplitud y profundidad de la empresa. incluye sólo
una exploración limitada de la infraestructura informática.
MÉTODO OCTAVE ALLEGRO Es una variante simplificada del método de OCTAVE que
se centra en los activos de la información. Igual que los anteriores métodos de
OCTAVE, Allegro se puede realizar de entrada en un taller de entorno colaborativo,
pero también es muy apropiado para las personas que desean realizar la evaluación de
riesgo sin una amplia participación de la organización o experiencia.
FASES DE OCTAVE ALLEGRO
Fase 1: Evaluación de los participantes desarrollando criterios de medición del riesgo con las
directrices de la organización: la misión de la organización, los objetivos y los factores críticos de
éxito.
Fase 2: Cada uno de los participantes crean un perfil de los activos críticos de información, que
establece límites claros para el activo, identifica sus necesidades de seguridad, e identifica todos
sus contenedores.
Fase 3: Los participantes identifican las amenazas a la información de cada activo en el contexto
de sus contenedores. Fase 4: Los participantes identifican y analizan los riesgos para los activos de
información y empiezan a desarrollar planes de mitigación.
2
Metodología CRAMM
CRAMM es la metodología de análisis de riesgos desarrollado por la Agencia Central de
Comunicación y Telecomunicación del gobierno británico. El significado del acrónimo proviene de
CCTA Risk Analysis and Management Method. Su versión inicial data de 1987 y la versión vigente
es la 5.2
Cramm incluye una amplia gama de herramientas de evaluación de riesgo que son totalmente
compatibles con 27001 e ISO que se ocupan de tareas como:
• Activos de modelado de dependencia
• Evaluación de impacto empresarial
• Identificación y evaluación de amenazas y vulnerabilidades
• Evaluar los niveles de riesgo
• La identificación de los controles necesarios y justificados sobre la base de la evaluación del
riesgo.
• Un enfoque flexible para la evaluación de riesgos.
CRAM se puede dividir en las siguientes tareas
La metodología de CRAMM incluye las siguientes 3 etapas:
1. La primera de las etapas recoge la definición global de los objetivos de seguridad entre los
que se encuentra la definición del alcance, la identificación y evaluación de los activos
3
físicos y software implicados, la determinación del valor de los datos en cuanto a impacto
en el negocio y la identificación.
2. En la segunda etapa de la metodología se hace el análisis de riesgos, identificando las
amenazas que afecta al sistema, así como las vulnerabilidades que explotan dichas
amenazas y por último el cálculo de los riesgos de materialización de las mismas.
3. En la tercera etapa se identifican y seleccionan las medidas de seguridad aplicadas en la
entidad obteniendo los riesgos residuales, CRAMM proporciona una librería unas 3000
medidas de seguridad.
Método MAGERIT
MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el antiguo Consejo
Superior de Administración Electrónica (actualmente Comisión de Estrategia TIC), como respuesta
a la percepción de que la Administración, y, en general, toda la sociedad, dependen de forma
creciente de las tecnologías de la información para el cumplimiento de su misión.
La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de las
tecnologías de la información, que supone unos beneficios evidentes para los ciudadanos; pero
también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen
confianza.
MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas informáticos
para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos,
MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el
riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para
poder gestionarlos. Con MAGERIT se persigue una aproximación metódica que no deje lugar a la
improvisación, ni dependa de la arbitrariedad del analista.
MAGERIT persigue los siguientes Objetivos Directos:
•
•
•
•
Concienciar a los responsables de las organizaciones de información de la existencia de
riesgos y de la necesidad de gestionarlos
Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías
de la información y comunicaciones (TIC)
Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo
control Indirectos
Preparar a la Organización para procesos de evaluación, auditoría, certificación o
acreditación, según corresponda en cada caso
4
Método MEHARI
MEHARI es una metodología desarrollada por CUSIF (Club de la Securité De L’information Français)
en 1998 que pasó a ser Open Source en 2007.
El objetivo de esta metodología es permitir un análisis directo e individual de situaciones de
riesgos descritas en diferentes escenarios y proporcionar un completo conjunto de herramientas
específicamente diseñadas para la gestión de la seguridad a corto, medio y largo plazo, adaptables
a diferentes niveles de madurez.
La metodología MEHARI consta de 3 fases:
Análisis o evaluación de riesgos
Una situación de riesgo se puede caracterizar por diferentes factores:
Factores estructurales (u organizacionales), los cuales no dependen de las medidas de seguridad,
sino de la actividad principal de la organización, su entorno y su contexto.
Factores de la reducción de riesgo, que son función directa de las medidas de seguridad
implementadas.
Evaluaciones de seguridad
MEHARI integra cuestionarios de controles de seguridad, lo que permite evaluar el nivel de calidad
de los mecanismos y soluciones encaminadas a la reducción del riesgo. Los controles o medidas de
seguridad se agrupan en servicios y en dominios de seguridad. Para realizar esta evaluación es
necesario seguir los siguientes pasos:
•
•
•
•
revisión de vulnerabilidades o evaluación de los servicios de seguridad: MEHARI
proporciona un modelo de riesgos estructurado que considera los factores de reducción
del riesgo en forma de servicios de seguridad.
Planes de seguridad basados en la revisión de vulnerabilidades: se realizará la confección
de planes de seguridad como resultado directo de la evaluación del estado de los servicios
de seguridad.
Apoyo en las BBDD en la creación de un marco de referencia de seguridad: las bases de
datos de conocimiento de MEHARI se pueden utilizar directamente para crear un marco
de referencia de seguridad que contendrá y describirá el conjunto de reglas e
instrucciones de seguridad que debe seguir la organización.
Apoyo en las BBDD en la creación de un marco de referencia de seguridad: las bases de
datos de conocimiento de MEHARI se pueden utilizar directamente para crear un marco
de referencia de seguridad que contendrá y describirá el conjunto de reglas e
instrucciones de seguridad que debe seguir la organización.
Análisis de amenazas
Sea cual sea la orientación de la política de seguridad, hay un principio en el que coinciden todos
los responsables: debe existir un equilibrio entre las inversiones de seguridad por un lado y la
importancia de los principales retos empresariales por el otro.
5
Esto significa que la comprensión de las amenazas del negocio es fundamental, y que el análisis del
contexto de seguridad merece un nivel prioritario y un método estricto y riguroso de evaluación.
MEHARI proporciona un módulo de análisis de amenazas con dos tipos de resultados:
Una escala de valores de posibles malfuncionamientos en sus procesos operacionales.
Una clasificación de la información y de los activos TI: consiste en la definición, para cada tipo de
información, para cada tipo de activo TI, y para cada criterio de clasificación La clasificación de la
información de los activos es la escala de los valores de malfuncionamiento definida
anteriormente traducido a indicadores de sensibilidad asociados con los activos TI.
Método SP 800-30
El método de análisis de riesgos NIST SP 800-30. Este método nació en el seno del National
Institute of Standard Technology (Instituto Nacional de Estándares y Tecnología), agencia federal
fundada en 1901 para la Administración de Tecnología de Departamento de Comercio de los
Estados Unidos.
La norma NIST SP 800-30 nace con los siguientes objetivos:
•
•
•
•
•
Aseguramiento de los sistemas de Información que almacenan, procesan y transmiten
información.
Gestión de Riesgos
Optimizar la administración de Riesgos a partir del resultado en el análisis de riesgos.
Proteger las habilidades de la organización para alcanzar su misión (no solamente
relacionada a la IT, sino de toda la empresa)
Ser una función esencial de la administración (no solo limitada a funciones técnicas de IT)
La metodología NIST SP 800:30 está compuesta por nueve fases:
1. Caracterización del sistema: la cual permite establecer el alcance y los límites
operacionales de la evaluación de riesgos en la empresa.
2. identificación de amenazas, es donde se definen las fuentes de motivación de las mismas;
3. Identificación de vulnerabilidades, en esta fase desarrolla una lista de defectos o
debilidades del sistema que podrían ser explotadas por una amenaza.
4. Análisis de controles.
5. Determinación de la probabilidad.
6. Análisis de impacto.
7. Fase de determinación del riesgo, ayuda a evaluar el riesgo en el sistema de información,
8. Recomendaciones de control en donde se proporcionan los controles que podrían mitigar
el riesgo identificado disminuyéndolo hasta un nivel aceptable,
9. Finalmente está la documentación de resultados la cual genera un informe con la
descripción de amenazas y vulnerabilidades, midiendo el riesgo y generando
recomendaciones para la implementación de controles.
6
Conclusión
Bajo mi criterio considero a la metodología OCTAVE como la mejor, debido a que esta se adapta a
cualquier empresa sin importar su tamaño, y esta no se centra solo en equipos informáticos como
las otras metodologías, si no asegura la infraestructura mobiliario e instalaciones, y esta al
adaptarse puede abarcar a los giros actuales, y esta al ser muy técnica necesitara de usuarios
avanzados lo cual da un plus de que los usuarios que la ocupan tengan idea de los que andan
realizando, la gran cantidad de documentos que requiere o esta genera permite el mejor control
de la información que se asegura.
Una ventaja que tiene por encima de la metodología CRAMM, es que esta ultima esta dirigida a
empresas británicas y puede ocasionar problemas en la adaptación en el ámbito internacional,
llegando a no acoplarse 100% a la empresa, lo cual la metodología OCTAVE se ha adaptado a
cualquier empresa, en sus diferentes ramificaciones (OCTAVE, OCTAVE-S, OCTAVE- ALLEGRO).
Otro punto fuerte es que involucra a todos os integrantes de la empresa permitiendo que todos
conozcan su importancia y que todos estén al tanto de los puntos fuertes y los débiles que se
llegaran a encontrar en su área de trabajo.
Como hemos visto esta metodología se adapta a cualquier modalidad y por eso pienso que es la
mejor de las metodologías que vimos en el documento.
7
Descargar