Estudio sobre metodologías de análisis de riesgos

Compartir
Facebook Twitter Copiar enlace WhatsApp LinkedIn

Metodologías analizadas

En este capítulo se presenta una breve descripción de las metodologías analizadas. Se pueden distinguir:

  • Estándares: que brindan pautas de alto nivel para los procesos de gestión de riesgos como ISO 31000, 27005; COBIT, NIST: SP 800-37, SP 800-30 y SP 800-39; OCTAVE: OCTAVE S, Allegro y FORTE.
  • Metodologías más estructuradas que siguen fases o pasos específicos para implementar procesos de Gestión de Riesgos como MAGERIT, EBIOS, CORAS, etc.

ISO 31000:2018  - Gestión de riesgos – Directrices

Se presenta en esta guía varios principios que deberían considerarse al establecer un marco de referencia y procesos para la gestión de riesgos en una organización.

El desarrollo de un marco de referencia implica integrar, diseñar, implementar, valorar y mejorar la gestión de riesgos a lo largo de toda la organización, y permitirá que pueda aplicarse en todas sus actividades.

ISO/IEC 31010:2019   - Gestión de riesgos: Técnicas de evaluación de riesgos

Esta guía proporciona información resumida de diferentes técnicas y referencias a otros documentos en los cuales se describen con más detalle, que pueden utilizarse en la evaluación de riesgos en una amplia gama de situaciones.
Está dirigida a las organizaciones que deben realizar evaluaciones de riesgos con fines de cumplimiento o conformidad, y se beneficiarían del uso de técnicas formales y normalizadas.

ISO/IEC 27005:2018   - Tecnología de la Información. Técnicas de seguridad. Gestión del riesgo de Seguridad de la Información

Esta Norma Internacional, aplicable a todo tipo de organizaciones, proporciona pautas para la gestión de riesgos de seguridad de la información.  Respalda los conceptos generales especificados en ISO/IEC 27001 y está diseñada para ayudar a la implementación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos.

El proceso de gestión de riesgos de Seguridad de la Información presentado en esta guía consiste en el establecimiento del contexto, la evaluación, el tratamiento, la aceptación, la comunicación y consulta del riesgo, seguimiento, revisión y mejora de la gestión del riesgo. 

Un enfoque iterativo para realizar una evaluación de riesgos puede aumentar la profundidad y el detalle de la evaluación en cada iteración. El enfoque iterativo proporciona un buen equilibrio entre minimizar el tiempo y el esfuerzo dedicado a identificar los controles, al tiempo que garantiza que los altos riesgos se evalúen adecuadamente.
 

COBIT 5 for Risk

Cobit 5 for Risk se basa en el marco Cobit 5 con una orientación más detallada y práctica para el tratamiento de los riesgos.

Cobit 5 proporciona un marco integral, que ayuda a alcanzar los objetivos para el gobierno corporativo de las TI, al mantener un equilibrio entre la obtención de beneficios y la optimización de los riesgos y el uso de los recursos.

Presenta dos perspectivas sobre cómo usar Cobit 5 en un contexto de riesgo: función de riesgo y gestión de riesgo. 

La primera se centra en lo que se necesita para construir y mantener la función de riesgo dentro de la empresa. La segunda tiene que ver con los procesos centrales de gobierno y gestión de riesgos sobre cómo optimizar el riesgo y cómo identificar, analizar, responder e informar sobre el riesgo a diario.
 

National Institute of Standard Technology Publicaciones especiales de la serie 800: 800-37 Rev 2 , 800-39  y 800-30 Rev 1 .

Guía 800-37 Risk Management Framework for Information Systems and Organizations, presenta al marco de gestión de riesgos como un proceso con 7 pasos: 

  • Prepararse para ejecutar el RMF
  • Categorizar el sistema y la información procesada, almacenada y transmitida 
  • Seleccionar un conjunto inicial de controles para el sistema
  • Implementar los controles
  • Evaluar los controles para determinar si los controles se implementan correctamente
  • Autorizar el sistema o controles comunes con base en la determinación de que el riesgo es aceptable
  • Monitorear el sistema y los controles asociados de manera continua 

Guía 800-39 Managing Information Security Risk Organization, Mission, and Information System View, plantea que la gestión de riesgos es una actividad holística, de toda la organización, abordado desde el nivel estratégico hasta el nivel táctico, con el objetivo de que la toma de decisiones basada en el riesgo se integre en todos los aspectos de la organización. 
Guía 800-30 Guide for Conducting Risk Assessments, proporciona orientación para realizar evaluaciones de riesgos de sistemas y organizaciones, ampliando la orientación en la Publicación Especial 800-39.
Describe el proceso de evaluación del riesgo de seguridad de la información y las actividades necesarias para:

  • prepararse para una evaluación de riesgos; 
  • realizar una evaluación de riesgos; 
  • comunicar los resultados de la evaluación de riesgos y compartir información relacionada con los riesgos en toda la organización; y 
  • mantener los resultados de una evaluación de riesgos.

Otras publicaciones que complementan este punto:

  • 800-53- Recommended Security Controls for Federal Information Systems and Organizations.
  • 800-53A, Guide for Assessing the Security Controls in Federal Information Systems and Organizations.

Los conceptos y principios contenidos en publicaciones del NIST implementan un sistema de gestión de Seguridad de la Información y un proceso de gestión de riesgos armonizados con las normas ISO/IEC 31000, ISO/IEC 31010, ISO/IEC 27001, y ISO/IEC 27005 mencionadas anteriormente.

OCTAVE   - Operational Critical Threat, Asset and Vulnerability Evaluation 

Es un marco para identificar y gestionar los riesgos de Seguridad de la Información, permite una evaluación estratégica basada en riesgos y una técnica de planificación para la seguridad. El enfoque se concentra en los activos, las amenazas y las vulnerabilidades. 

OCTAVE es autodirigido, la técnica aprovecha el conocimiento de las personas sobre las prácticas y procesos relacionados con la seguridad en la organización para capturar el estado actual de las prácticas de seguridad en la misma. Los riesgos para los activos más críticos se utilizan para priorizar áreas de mejora y establecer la estrategia de seguridad para la organización. 

A diferencia de la evaluación de otras metodologías centradas en la tecnología, que se enfocan en el riesgo tecnológico y en problemas tácticos, OCTAVE se enfoca en el riesgo organizacional y en problemas estratégicos relacionados con la práctica. Es una evaluación flexible que se puede adaptar para la mayoría de las organizaciones.

MAGERIT   - Metodología de Análisis y Gestión de Riesgos de IT

 MAGERIT versión 3 se estructura en tres libros: "Método", "Catálogo de Elementos" y "Guía de Técnicas" implementa el Proceso de Gestión de Riesgos dentro de un marco de trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la información.

Es mantenida por la Secretaría General de Administración Digital del Ministerio de Asuntos Económicos y Transformación Digital de España, con la colaboración del Centro Criptológico Nacional (CCN) del mismo país.
 

EBIOS   - Expression des Besoins et Identification des Objectifs de Sécurité 

EBIOS se puede aplicar a toda una organización o a un componente de una aplicación. Presenta dos enfoques de identificación de riesgos: por cumplimiento (para riesgos no intencionales) y por escenarios (para riesgos deliberados). Su objetivo es obtener una síntesis entre “cumplimiento” y “escenarios” al reposicionar estos dos enfoques complementarios donde aportan el mayor valor agregado.

Se proporciona una guía que describe 15 etapas de un enfoque progresivo para construir, paso a paso, una política de gestión de riesgos digitales dentro de una organización.

Este método adopta un enfoque iterativo mediante cinco talleres  , propone una caja de herramientas, cuyo uso varía según el objetivo del proyecto y es compatible con los estándares de referencia vigentes, en términos de gestión de riesgos, con la norma ISO 31000:2018, así como en términos de ciberseguridad, con la serie ISO/IEC 27000.

CORAS   - Construct a platform for Risk Analysis of Security critical systems          

CORAS es un método para realizar análisis de riesgos de seguridad, que proporciona un lenguaje personalizado para el modelado de amenazas y riesgos, y brinda directrices que explican cómo se debe usar el lenguaje para capturar y modelar información relevante durante las distintas etapas del análisis. 

El método CORAS proporciona una herramienta diseñada para soportar la documentación, mantenimiento y reporte de resultados de forma coherente. Esta metodología brinda consejos detallados con respecto a qué modelos deben construirse y cómo deben expresarse.
 

CRAMM   Risk analysis and Management Method

CRAMM se divide en dos partes: el método, que proporciona orientación sobre cómo llevar a cabo evaluaciones de riesgos y revisiones de seguridad; y el software de soporte, que le ayuda a configurar y llevar a cabo las revisiones, analizar los sistemas y redes de información, identificar los requisitos de seguridad y los requisitos de contingencia.

Es un método aplicable a todos los tipos de sistemas y redes de información pudiendo utilizarse en todas las etapas del ciclo de vida del sistema de información, desde la planificación y viabilidad, así como durante el desarrollo y la implementación.

FRAAP   - Facilitated of Risk Analysis and Assessment Process 

FRAAP tiene como objetivo principal desarrollar un proceso eficiente y disciplinado para garantizar que los riesgos relacionados con la información para las operaciones comerciales se consideren y documenten. Este proceso permite “preseleccionar” aplicaciones, sistemas u otros temas para determinar si se necesita un análisis más formal de riesgos y allí asignar los recursos. 

Utiliza una metodología de implementación similar a OCTAVE.
 

Mehari   - Methode Harmonisée d’Analyse de Risques

El primer objetivo de Mehari es proporcionar un método para la evaluación y gestión de riesgos, concretamente en el dominio de la Seguridad de la Información, conforme a los requerimientos de la ISO/IEC 27005:2011, proporcionando el conjunto de herramientas y elementos necesarios para su implementación.

Otros objetivos adicionales son, permitir un análisis directo e individual de situaciones de riesgos descritas en escenarios, y proporcionar un conjunto de herramientas específicamente diseñadas para la gestión de la seguridad a corto, mediano y largo plazo, adaptables a diferentes niveles de madurez y tipos de acciones consideradas.

El enfoque proporcionado por MEHARI se basa en una base de datos de conocimientos y en procedimientos automatizados para la evaluación de los factores que caracterizan cada uno de los riesgos, y que permite evaluar su nivel. Este método también proporciona asistencia para la selección de planes de tratamiento adecuados.
 

ISRAM   - Information Security Risk Analysis Method

Presenta un enfoque cuantitativo para el análisis de riesgos y un modelo basado en encuestas, utilizado para analizar el riesgo en la Seguridad de la Información. 

El método incluye dos atributos principales de riesgo: probabilidad y consecuencia, en base a dos encuestas separadas e independientes. Se basa en modelar el riesgo como una combinación de probabilidad y consecuencia de una violación de seguridad. 
 

Etiquetas

Gestión y auditoría de Seguridad de la Información Políticas de Ciberseguridad Ciberseguridad Herramientas para organismos Política Digital del Uruguay