Escolar Documentos
Profissional Documentos
Cultura Documentos
Contenido
INTRODUCCION.............................................................................................. 3
HISTORIA Y EVOLUCIN.................................................................................. 4
- Primera Generacin G1 (Casustica)...............................................................4
-Tercera Generacin G3 (Causal).....................................................................5
DESCRIPCION GENERAL DE LOS METODOS DE GESTION DE RIESGOS...........6
MAGERIT............................................................................................... 6
OBJETIVOS DE MAGERIT...........................................................................6
MODELO DE BOEHM.............................................................................. 7
TCNICAS DE BOEHM (medidas, salvaguardas)............................................7
CRAMM.................................................................................................. 9
OCTAVE................................................................................................. 9
ACTIVOS DE INFORMACIN......................................................................9
PERFILES DE AMENAZAS..........................................................................9
EBIOS.................................................................................................. 10
UN MTODO RPIDO.............................................................................. 10
UNA HERRAMIENTA REUTILIZABLE..........................................................10
INTRODUCCION
las
organizaciones
una
gua
de
procedimientos
para
la
HISTORIA Y EVOLUCIN
La gestin de riesgos pasa por tres generaciones de modelos de riesgos en
proyectos informticos:
- Primera Generacin G1 (Casustica)
Esta generacin data de principios de los aos 80 y est basada en listas
casusticas de riesgos especiales para proyectos, se identifican casos de
riesgo y se extrapolan a otros proyectos. No hay una planificacin especfica.
En esta generacin se definen los Riesgos tecnolgicos y las Listas de
comprobacin de riesgos.
En los aos 40 se presento la teora de la fiabilidad, arranque de la Teora del
Riesgo en Sistemas Complejos con el Teorema de Lusser: la probabilidad de
xito de una cadena de componentes es el producto de las probabilidades de
xito de sus elementos (la fiabilidad del conjunto es inferior a la de cada
elemento separado; la cadena se rompe siempre por su eslabn ms dbil).
Para los aos 60 se present el Anlisis de riesgos cuantitativo (procesos
markovianos) para describir el comportamiento de sistemas complejos con
fallos ensayables y sin intervencin manual, o cualitativo como los rboles de
fallos para sistemas hbridos con la incertidumbre de la intervencin humana y
la imposibilidad de probar los impactos salvo por simulacin. Se define el
riesgo
como
una
entidad
con
dos
dimensiones:
probabilidad
etc.).
Los principales modelos de gestin de riesgos propuestos son:
Modelo MAGERIT de Gestin de Riesgos en Sistemas adaptado a Proyectos
(transicin)
Modelo de eventos de MAGERIT-Proyectos (Transicin)
Modelo McFarlan (Transicin)
Modelo RiskMan e iniciativa RiskDriver
Modelo DriveSPI
Modelo Euromtodo
Modelo ISPL
Modelo PRisk
modular
la
funcionalidad
presupuesto/plazo disponible.
entregada
para
adecuarla
al
E)
Desarrollar
incrementalmente
las
funcionalidades
(requerimientos
prioritarios...)
F) Desarrollar por prototipos (o sea, subconjuntos para comprar informacin)
G) Reducir requerimientos usando las priorizaciones desarrolladas para D, E),
F).
H) Analizar la misin: anlisis organizacional, coste-beneficio, ingeniera del
usuario
I) Encapsular la informacin para reducir requisitos voltiles y reutilizar software
J) Comprobar los referentes y auditar por expertos externos antes de decidir
K) Ingenierizar rendimientos con tcnicas para simular, modelar, prototipar,
afinar.
L) Analizar las capacidades de las tecnologas informticas para resolver FCE.
MODELO McFARLAN (Riesgos en proyectos)
Plantea los siguientes factores de riesgo:
Experiencia de la tecnologa aplicable (factor subjetivo interno). Pero la
familiarizacin del equipo con el hardware, sistema operativo, gestores (DB,
DC) y lenguajes tambin pasa por encontrar/absorber la experiencia externa
como por ejemplo la formacin.
Estructuracin del proyecto (factor subjetivo externo): Los objetivos iniciales
del proyecto y sus resultados dependen de la claridad de los procedimientos
trasladados por la organizacin cliente al equipo de desarrollo.
Tamao del proyecto (factor objetivo, no reducible). Importa sobre todo el
tamao (en coste aos- hombre) o relativo al tamao de proyecto que el equipo
desarrolla normalmente.
MODELO RISKMAN (Programa Eureka) / INICIATIVA RISKDRIVER
Tras las etapas de identificacin y evaluacin de los riesgos, se simulan varios
planes para organizar la mejor generacin inicial de medidas y el control de los
riesgos durante el desarrollo del proyecto.
CRAMM
CCTA Risk Analysis and Method Management (CRAMM), es una metodologa
creada
en
1987
por
la
Central
Agency
of
Data
Processing
and
-Problemas de sistemas
-Otros problemas
EBIOS
El mtodo EBIOS permite apreciar y tratar los riesgos relativos a la seguridad
de los sistemas de informacin (SSI).
Posibilita tambin la comunicacin dentro del organismo y tambin con los
asociados para contribuir al proceso de la gestin de los riesgos SSI. Brinda las
justificaciones necesarias para la toma de decisiones; puede utilizarse para
numerosas finalidades y procedimientos de seguridad, tales como la
elaboracin de esquemas directivos, de polticas, de polticas de proteccin o
de objetivos de seguridad, de los planes de accin o de cualquier otra forma de
pliego de condiciones de SSI.
EBIOS puede ser utilizado para estudiar tanto sistemas por disear como
sistemas ya existentes. En el primer caso, permite determinar progresivamente
las especificaciones de seguridad integrndose a la gestin de proyectos. En el
segundo caso, considera las medidas de seguridad existentes e integra la
seguridad a los sistemas en funcionamiento.
UN MTODO RPIDO
El tiempo necesario para la ejecucin de un estudio EBIOS es ptimo, ya que
permite obtener los elementos necesarios y suficientes para el resultado
esperado
UNA HERRAMIENTA REUTILIZABLE
EBIOS
una
gran
variedad
de
metodologas,
muchas
de
ellas
con
reconocimiento internacional, pero todas son distintas. Cada una tiene sus
particularidades, sus puntos fuertes.
Las principales metodologas son :
MAGERIT, metodologa espaola de anlisis y gestin de riesgos para los
sistemas de informacin, promovida por el MAP y diferente a la UNE 71504. Es
la metodologa de anlisis y gestin de riesgos elaborada por el Consejo
Superior de Administracin Electrnica, como respuesta a la percepcin de que
la Administracin, y, en general, toda la sociedad, dependen de forma creciente
de las tecnologas de la informacin para el cumplimiento de su misin.
La razn de ser de MAGERIT est directamente relacionada con la
generalizacin del uso de las tecnologas de la informacin, que supone unos
beneficios evidentes para los ciudadanos; pero tambin da lugar a ciertos
riesgos que deben minimizarse con medidas de seguridad que generen
confianza. MAGERIT interesa a todos aquellos que trabajan con informacin
control de los
en
1987
por
la
Central
Agency
of
Data
Processing
and
CONCLUSIONES
BIBLIOGRAFIA
http://technet.microsoft.com/es-ar/library/dd574340.aspx
http://www.di.uniovi.es/~aquilino/Asignaturas/ProyectosInformatica/Docu
mentos/07-GestionRiesgos.pdf
http://www.ati.es/gt/seguridad/PtoEncuentroAreas/JMCrsg_2000-1107.pdf
http://www.ssi.gouv.fr/archive/es/confianza/documents/methods/ebiosv2methode-plaquette-2003-09-01_es.pdf