Seguridad de la red

Análisis de riesgos y vulnerabilidades

Fase 1 – Metodologías de análisis de riesgos

GRUPO “MiNdWiDe”
JUAN ALEJANDRO BEDOYA
JOSE DE ARLEX DOMINGUEZ
NEIFER ERNEY GIRALDO
JHON FREDY HERRERA
YOJAN LEANDRO USME

ADMINISTRACION DE REDES INFORMATICAS

Mauricio Ortiz

CENTRO DE SERVICIO Y GESTION EMPRESARIAL

SENA (MEDELLIN)
2010
 Mind Wide Open™
BLOG – http://blog.homeunix.net
Seguridad de la red | Análisis de riesgos y vulnerabilidades
GROUP | “???”

INDICE

ASPECTOS IMPORTANTES (MAGERIT - OCTAVE)..................................................................... 3

Justificación de la elección........................................................................................................................................ 7

MiNdWiDe - Group 2
 Mind Wide Open™
BLOG – http://blog.homeunix.net
Seguridad de la red | Análisis de riesgos y vulnerabilidades
GROUP | “???”

ASPECTOS IMPORTANTES (MAGERIT - OCTAVE)

En la siguiente tabla se hará una comparación entre dos de las metodologías más importantes de
Análisis y Gestión de Riesgos de los Sistemas de Información.

Se hará en orden de tareas o fases que se divide cada método.

MiNdWiDe - Group 3
 Mind Wide Open™
BLOG – http://blog.homeunix.net
Seguridad de la red | Análisis de riesgos y vulnerabilidades
GROUP | “???”

Criterio de comparación Margerit Octave

Es una metodología de análisis y gestión

de riesgos de los Sistemas de
Información elaborada por el Consejo Es un conjunto de herramientas, técnicas
Superior de Administración Electrónica y métodos para la seguridad de la
¿Qué son Magerit y Octave?
para minimizar los riesgos de la información estratégica basada en la
implantación y uso de las Tecnologías de evaluación de riesgos y la planificación.
la Información, enfocada a las
Administraciones Públicas.
Existen diferentes versiones de octave,
dependiendo de las necesidades de la
compañía:
- Octave
- Octave-s
Hasta el momento existen 2 versiones. - Octave Allegro.
Versión 1.
Versión 2. Tiene como El objetivo de Octave es desarrollar una
objetivos: perspectiva de seguridad dentro de una
* Dar conciencia a los responsables de organización, teniendo en cuenta
los sistemas de información de la perspectivas de todos los niveles para
existencia de riesgos y de la necesidad asegurarse que las soluciones puedan
de detenerlos a tiempo. implementarse con facilidad.
Versiones y objetivos de las Existen diferentes versiones de octave,
metodologías. * Brindar un método sistemático para dependiendo de las necesidades de la
analizar esos riesgos. compañía:
* Contribuir a descubrir y planificar las * Octave
medidas oportunas para mantener los
riesgos bajo control. * Octave-s
* Preparar a la organización para * Octave Allegro.
procesos de auditoría, certificación,
acreditación, según sea en cada caso. El objetivo de Octave es desarrollar una
perspectiva de seguridad dentro de una
organización, teniendo en cuenta
perspectivas de todos los niveles para
asegurarse que las soluciones puedan
implementarse con facilidad.

MiNdWiDe - Group 4

Creación…
Fases o tareas.
En cuanto al inicio del método.
Al momento de determinar amenazas.
En el momento de evaluar los riesgos.
Mind Wide Open™
BLOG – http://blog.homeunix.net
Seguridad de la red | Análisis de riesgos y vulnerabilidades
GROUP | “???”
Fue creada por el Consejo Superior de
Administración Electrónica y es muy
utilizado por la implementación y el Por otro lado Octave fue desarrollada
resultado que ofrece, ya que es muy por CERT que es una Empresa con sede
sutil en el momento de clasificar los en la Universidad Carnegie Mellon en
Activos de la Organización y describe Pittsburgh (Pennsylvania), uno de los
métodos muy útiles y prácticos para centros de investigación de Informática y
realizar el análisis de los riesgos, sin Robótica más importantes de EEUU.
mencionar la infinidad de
documentación que hay en Internet.
En Octave, se desarrollan unas fases, de
Desarrolla 2 tareas especificas de las que las que despliegan unos procesos.
se desglosan varios pasos. * Fase 1
La primera tarea es el análisis de riesgos
* Fase 2
y la segunda es la gestión de riesgo.
* Fase 3
En Octave, a diferencia de Magerit, se
identifican 4 procesos en los cuales se
Magerit inicia con el análisis de riesgos,
dan diferentes puntos de vista con
donde se especifica los activos, la
respecto a: Activos críticos, áreas
relación y la importancia o valor que se
importantes, requerimientos de
le da a cada activo, además señala las
seguridad, actual estrategia de
amenazas a las cuales se exponen los
protección, vulnerabilidades. Se
activos.
identifica la información a nivel
Gerencial.
Mientras que en magerit se estima el
Magerit estima el riesgo, que sería el
riesgo de las amenazas, en Octave se
impacto total con el tiempo de
organiza los perfiles de amenazas a los
ocurrencia o la probabilidad de
activos críticos (debe ser información
materialización de la amenaza.
consolidada).
Se identifican 2 procesos, en los cuales
Se considera la probabilidad de que si el
se determinan sistemas importantes
impacto y el riesgo residual son
para los activos críticos, las
insignificantes se habrá terminado. En
vulnerabilidades de los componentes
caso contrario se debe hacer algo
críticos, los componentes claves y se
(gestión de riesgos).
evalúan dichos componentes (fase 2).
MiNdWiDe - Group 5
 Mind Wide Open™
BLOG – http://blog.homeunix.net
Seguridad de la red | Análisis de riesgos y vulnerabilidades
GROUP | “???”

Se determinan 2 procesos donde se

Se planifica el conjunto de salvaguardas
identifica los riesgos sobre los activos
Se determinan salvaguardas. para detener tanto el impacto como el
críticos, acciones, planes y estrategias de
riesgo.
protección (fase3).
Se gestiona las perdidas y ganancias,
además de la actitud de la dirección
(deben determinar el nivel de impacto y
riesgo aceptable. Más propiamente
dicho, debe aceptar la responsabilidad Se realiza un análisis de riesgos y se
de las insuficiencias). desarrolla una estrategia de protección,
Al culminar el análisis.
para luego revisar y aprobar la
Se ordenan y formalizan las acciones a estrategia.
realizar a lo largo de un proyecto
estableciendo un marco normalizado de
desarrollo.

Magerit esta disponible en Español,

Octave se encuentra disponible en
Ingles e Italiano (parcialmente).
Inglés.
Idiomas disponibles y Precio.
Es Gratuito
Disponible gratuitamente.

MiNdWiDe - Group 6
 Mind Wide Open™
BLOG – http://blog.homeunix.net
Seguridad de la red | Análisis de riesgos y vulnerabilidades
GROUP | “???”

Justificación de la elección

Al momento de tomar la elección de uno de estos dos métodos, tuvimos en cuenta lo siguiente:

MAGERIT es uno de los métodos de Análisis y Gestión de Riesgos de los Sistemas de Información
más popular y más utilizado. Presenta unas guías muy completas donde se plantea el método, un
catalogo de elementos (salvaguardas, amenazas, tipos de activos, etc.) y técnicas para el buen
desarrollo de este.

Llegamos a la conclusión de elegir este método para la comparación, ya que trae consigo muchos
elementos que pueden servir de guía para realizar un buen análisis, adicionalmente también nos
inclinamos por este método ya que está disponible en nuestro idioma nativo (español),
permitiéndonos así una mejor y más rápida comprensión de la misma. Ya que no tenemos un buen
dominio del inglés (por el momento).

MiNdWiDe - Group 7