UNIVERSIDAD CENTROCCIDENTAL

“LISANDRO ALVARADO”
DECANATO DE CIENCIAS Y TECNOLOGÍA
COORDINACIÓN DE FOMENTO DEL DCYT

Modulo IV GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

INTRODUCCIÓN AL PROCESO DE GESTIÓN DE RIESGOS
DE SEGURIDAD DE LA INFORMACIÓN
METODOLOGÍAS DE ANÁLISIS DE RIESGOS.

Participante
Abby Ramírez
 Introducción
Las organizaciones hoy día, con la tecnología y complejidad en el manejo de la información, donde enfrentan diferentes
amenazas que explotan sus vulnerabilidades en el dominio de la confidencialidad, integridad, disponibilidad y el no repudio de la
información en la empresa, es primordial para el aumento de su competitividad el resguardo de estos dominios; por lo que están
obligadas, si desean continuar operando, a establecer SGSI que permitan identificar sus activos vitales de información, e
implantar los controles pertinentes. Por lo tanto, es importante establecer el proceso de análisis de riesgos para identificar los
activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de
ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para mitigar la ocurrencia del riesgo.
Aunado a ello, es fundamental conocer que el análisis de riesgo es crucial para el desarrollo y operación de un SGSI, ya que
justo en esta etapa es donde la organización debe construir su “modelo de seguridad”, que no es más que la representación de
todos sus activos y sus dependencias jerárquicas, así como, todo aquello que pudiera ocurrir (amenazas) y que tuviera un
impacto en la organización.

Teniendo como guía las normas de estandarización ISO (Organización Internacional de Estandarización) e IEC
(Comisión Electrotécnica Internacional) las cuales forman el sistema especializado para la estandarización mundial; entre estas
están la norma ISO/IEC 27005:2008, a continuación se presenta un cuadro comparativos acerca de las metodologías mas
empleadas en las organizaciones para el análisis y gestión de riesgo de un SGSI.
 Comparación de las metodologías ISO/IEC 27005, MAGERIT, MEHARI, OCTAVE

METODOLOGIAS ISO/IEC 27005 MAGERIT MEHARI OCTAVE

Concepto Es el estándar internacional Esta metodología está Es una metodología Metodología de análisis y
que se ocupa de la gestión de basada en el análisis y desarrollada por el club gestión del riesgo, define una
riesgos de seguridad de gestión de riesgos y es de francés de la seguridad de la evaluación estratégica
información. La norma carácter público elaborada información (Clusif) para basada en riesgos y la
suministra las directrices para por el Consejo Superior de ayudar al CISO (Chief planificación técnica de la
la gestión de riesgos de Administración Electrónica information security seguridad; es auto dirigido, es
seguridad de la información (CSAE) y publicada por el officers) la cual proporciona decir, que las personas de
en una empresa, apoyando ministerio de administración un método de evaluación y una organización asuman la
particularmente los requisitos pública de España (MAP) gestión de riesgos conforme a responsabilidad de establecer
del sistema de gestión de encargado de la preparación, los requerimientos de la estrategia de seguridad de
seguridad de la información elaboración, desarrollo y ISO/IEC 27005:2008. la entidad. (Operationally
definidos en ISO 27001. aplicación de la política Esta metodología fue Critical Threat Asset and
informática del gobierno diseñada para realizar un Vulnerability Evaluation)
español. análisis preciso de Modelo para la creación de
situaciones de riesgos metodologías de análisis de
usando la definición basada riesgos desarrollado por la
en escenarios. Universidad de Carnegie
Mellón.
Características - Conjunto de directrices para - Concienciar a los - Proporcionar un completo
la correcta realización de un responsables de las conjunto de herramientas - Construcciones de los
principales análisis de riesgos. organizaciones de específicamente diseñadas perfiles de amenazas
- Ha nacido claramente para información de la existencia para la gestión de la basados en activos.
apoyar la tarea del análisis y de riesgos y de la necesidad seguridad a corteo, medio y
la gestión de riesgos en el de gestionarlos. largo plazo, adaptable a - Identificación de la
marco de un SGSI. - Ofrecer un método diferentes niveles de madurez infraestructura de
- Apoya los conceptos sistemático para analizar los y tipos de acciones vulnerabilidad.
generales especificados en la riesgos derivados del uso de consideradas.
norma ISO/IEC 27001:2005 y tecnologías de la información - Permitir un análisis directo e - Desarrollo de planes y
está diseñada para ayudar a y comunicaciones (TIC). individual de situaciones de estrategias de seguridad.
la aplicación satisfactoria de - Ayudar a descubrir y riesgos descritas en los
la seguridad de la información planificar el tratamiento escenarios.
basada en un enfoque de oportuno para mantener los - Modelo de riesgos
gestión de riesgos. riesgos bajo control (Cualitativo y cuantitativo).
Indirectos. - Complemento obligatorios a
- Preparar a la Organización la norma ISO/IEC 27000 y
para procesos de evaluación, particularmente ISO/IEC
auditoría, certificación o 27005:2008.
acreditación, según
corresponda en cada caso
 METODOLOGÍAS ISO/IEC 27005 MAGERIT MEHARI OCTAVE

Fases del Método de - Alcance - Identificar activos: activos - Establecimiento del - Visión organizativa:
- Normativas de referencia relevantes, su interrelación y contexto (escenario). construcción de activos
Análisis de Riesgo - Términos y definiciones valoración. - Tipología y lista de activos basados en perfil de
- Estructura - Identificar amenazas. principales. amenazas.
- Antecedentes - Determinar las - Análisis de activos: activos - Visión tecnológica:
- Visión del progreso de salvaguardas que hay de respaldo y Identificar vulnerabilidades
gestión de riesgos de dispuestas y cuan eficaces vulnerabilidades intrínsecas. tecnológicas.
seguridad de la información son frente al riesgo. - Daños potenciales: lista de - Desarrollo de las estrategias
- Establecimiento del contexto - Estimar el impacto: daño posibles escenarios de del plan: Desarrollar planes y
- Evaluación de riesgos sobre el activo derivado de la riesgos. estrategias de seguridad.
- Tratamiento de riesgo materialización de la - Análisis de amenazas: - Identificación análisis y
- Aceptación del riesgo amenaza. eventos de iniciación, actores, evaluación basándose en
- Comunicación del riesgo - Estimar el riesgo: impacto condiciones específicas. criterios.
- Monitorización y revisión del ponderado con la tasa de - Elementos de reducción
riesgo, todas esta ocurrencia de la amenaza. de riesgos: servicios de
establecidas bajo unas seguridad relevantes,
clausulas del estándar beneficios de los servicios de
internacional. seguridad.
Ámbito de Puede ser aplicada en Ámbito de aplicación: - Octave usa como
cualquier organización Gobierno, Organismos, herramientas de apoyo o
Aplicación pública o sociedades compañías grandes, PYME, Mehari ofrece una aplicación a OCTAVE
mercantiles, administraciones compañías comerciales y no herramienta de apoyo Automated Tool.
públicas, organizaciones no comerciales. llamada RISICARE de BUC
lucrativas, agencias públicas, S.A. - Aplica a PYME (pequeña y
ONGs o bien la entidad que Magerit ofrece un aplicación mediana empresa)
gestione un SGSI y proteger para el análisis y gestión de La emplean los gobiernos,
todo lo que afecte la riesgos de un sistema de organismos, compañías
seguridad de la información. información denominado grandes, PYME (pequeña y
Que tengan la intención de PILAR (Proceso informático mediana empresa),
manejar los riesgos que lógico para el análisis de compañías comerciales, sin
podrían comprometer la gestión de riesgos) Esta fines de lucro (educación,
seguridad de la información herramienta es de uso salud, servicios públicos,
de la organización. gratuito para la administración organismos NO
española y de uso comercial gubernamentales.
para las organizaciones
privadas.
 Comparación de las metodologías ISO/IEC 27005, MAGERIT, MEHARI, OCTAVE
METODOLOGÍAS ISO/IEC 27005 MAGERIT
Ventajas - Permite identificar las - Es metódica por lo que se
necesidades de la hace fácil su comprensión.
organización sobre los Los activos se identifican
requisitos de seguridad de - Tipifican, se buscan sus
información. dependencias, se valoran en
- Ayuda a crear los SGSI cuanto a: disponibilidad,
eficaz. confidencialidad, autenticidad,
- Aborda los riesgos de integridad y trazabilidad.
manera eficaz y oportuna, - Comprende los procesos de
donde y cuando sea Análisis y gestión de riesgos.
necesario. Usa un modelo de análisis de
- Es parte de integridad de Riesgos cualitativo y 27005:2008
todas las actividades de cuantitativo.
gestión de seguridad de la - Soporta herramientas
información tanto para su comerciales EAR y NO
aplicación como para su comerciales PILAR, así como
operación continua de un las normas ISO/IEC
SGSI. 27001:2005, ISO/IEC
15408:2005, ISO/IEC
17799:2005
Desventajas No recomienda una - No toma en cuenta el
metodología concreta, principio de no repudio de la
dependerá de una serie de información como objetivo de
factores, como el alcance real seguridad.
del Sistema de Gestión de - No toma en cuenta un
Seguridad de la Información análisis de vulnerabilidades.
(SGSI), o el sector comercial - La recomendación de los
de la propia industria. controles no la incluye dentro
del análisis de riesgos sino en
la gestión y evaluación.
- Comprende como
elementos del modelo de
análisis sólo: activos y
dependencias,
vulnerabilidades y amenazas.
– La estimación del impacto
se realiza en el proceso de
gestión y evaluación de
riesgos.
MEHARI
- Tiene la capacidad de
evaluar y simular los niveles
de riesgos derivados de
medidas adicionales.
- Soporta herramientas
comerciales y no comerciales
como RISICARE DE BUC
S.A.
- Es compatible con el
estándar ISO/IEC
27001:2005, ISO/IEC
- Usa un modelo de análisis
de riesgos cualitativo y
cuantitativo.
Es una metodología para la
gestión de riesgos.
- Solo toma en cuenta los
principios de confidencialidad,
integridad y disponibilidad de
la información como objetivos
de seguridad dejando a un
lado el no repudio.
- La estimación del impacto
se realiza en el proceso de
gestión y evaluación de
riesgos.
- La recomendación de los
controles no la incluye dentro
del análisis de riesgos sino en
la gestión de riesgos.
OCTAVE
- Cualquier metodología que
aplica los criterios (principio,
atributos y resultados) es
considerados compatible con
la metodología octave.
- Involucra todo el personal
de la entidad.
- Es la más completa, ya que
involucra como elementos de
su modelo de análisis:
procesos, activos y
dependencias, recursos,
vulnerabilidades, amenazas y
salvaguardas.
- Aplicable solo en PYME
8pequeña y mediana
empresa).
- No tiene compatibilidad con
estándares.
Conclusión
La seguridad de la información es un aspecto importante que debe ser revisada y evaluada continuamente. La
metodología para la gestión de riesgo puede ser orientada a diversos sectores porque permite ser adaptada instituciones de
servicios públicos, organizaciones, empresas públicas o privadas dado que se fundamenta en conceptos generales que
competen a cualquier tipo de organización. Esta metodología permite establecer el grado de capacitación del personal
responsable de la gestión de riesgos. El análisis de riesgo requiere de una evaluación que permitirá adoptar medidas para
enfrentar las posibles amenazas de los activos de información de la organización. Con esta metodología los responsables de la
seguridad de la información, sus dueños y quienes utilizan el activo, toman mayor conciencia de los activos más riesgosos, sus
vulnerabilidades y las amenazas a los que están expuestos, por lo que podrán tomar medidas proactivas más efectivas y
eficientes antes de que se pueda producir un incidente. Esta metodología disminuye el grado de subjetividad que rigen las
acciones en seguridad, ya que aporta precisión y confianza al valorar cuantitativamente de las amenazas y vulnerabilidades.
 Comparación de las metodologías ISO/IEC 27005, MAGERIT, MEHARI, OCTAVE

Bibliografía
I. Normativas para la seguridad de la información como ISO/IEC 17799:2005 e ISO/IEC 27001:2005, las cuales facilitan el
análisis, diseño e implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI), e ISO/IEC 27001 que
permite certificación.
II. Magerit_V3_libro1_método.
III. ISO/IEC 27005:2008-
IV. ISO/IEC 27002:2005. (2005). Tecnología de la información-Técnicas de seguridad Código para la práctica de la gestión
de la seguridad de la información.
V. Dirección y gestión de los sistemas de información en la empresa
VI. Tecnología – UCLA. Tesis de maestría. Universidad Centroccidental Lisandro Alvarado. Barquisimeto Estado Lara.
VII. Royal, F. (1998). Seguridad en los sistemas informáticos. Ediciones Díaz de Santos, S.A. Madrid, España.