Resultados
Los marcos de gestión de riesgo definen una estructura sobre la cual las organizaciones pueden construir todos los procesos relacionados con la identificación, el análisis, la evaluación y la gestión de los riesgos de seguridad de la información y las metodologías de gestión de riesgos proporcionan orientación sistemática sobre cómo identificar, analizar, evaluar y gestionar el riesgo, siendo menos flexibles que los marcos, debido a su especificidad.
A partir del puntaje obtenido por cada una de las metodologías analizadas, se profundizó en las metodologías que obtuvieron un puntaje superior a los 25 puntos.
Las metodologías que obtuvieron un puntaje superior son OCTAVE, NIST y MAGERIT con 26 puntos.
Se analizaron las ventajas y desventajas de dichas metodologías conforme al objetivo del presente documento.
OCTAVE
Ventajas:
- Auto dirigible. Se puede desarrollar por personas de la misma organización, utilizando un equipo multidisciplinario.
- Involucra a personas de todas las áreas.
- Permite construir perfiles de amenazas basados en los activos.
- Permite identificar las vulnerabilidades.
- Facilita el desarrollo de planes y estrategias de seguridad.
- Comprende las etapas de análisis y gestión de riesgos.
- Involucra procesos, activos, dependencias, recursos, vulnerabilidades, amenazas y contramedidas.
- Relaciona amenazas y vulnerabilidades.
- Su uso es gratuito.
Desventajas:
- Utiliza muchos documentos anexos para llevar a cabo el proceso de análisis de riesgos, lo que puede resultar tedioso y complicado de entender.
- Se requiere habilidades previas en gestión de riesgos.
- Se debe solicitar autorización al SEI para la utilización completa o parcial del material específico aclarando que intención de distribución se tiene.
NIST,
Ventajas:
- Proporciona un conjunto de guías para la gestión y evaluación de riesgos de Seguridad de la Información. (SP 800-30, SP 800-37, SP 800-53, SP 800-53A)
- Presenta un resumen de los elementos clave de las pruebas de seguridad técnica y la evaluación con énfasis de técnicas específicas, sus beneficios, limitaciones y recomendaciones para su uso.
- Las guías proveen herramientas para la valoración y mitigación de riesgos.
- Asegura los sistemas informáticos que almacenan, procesan y transmiten información.
- Mejora la administración a partir de los resultados del análisis de riesgos.
- Se aplica a todas las etapas del proceso de gestión de riesgos.
Desventajas:
- En el modelo no se tiene contemplados elementos como los procesos, los activos ni las dependencias.
MAGERIT,
Ventajas:
- Alcance completo en el análisis y gestión de riesgos.
- Está bien documentado en cuanto a recursos de información, amenazas y tipos de activos.
- Utiliza un completo análisis de riesgo cuantitativos y cualitativos.
- El libre y no requiere autorización para su uso.
- Divide los activos de la organización en diferentes grupos, para identificar más riesgos y poder tomar contramedidas para evitar así cualquier riesgo.
- Se centra en tres objetivos: concientizar sobre la existencia de los riesgos de la necesidad de atajarlos a tiempo, ofrecer un método sistemático para analizar tales riesgos, ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.
- Preparar a la organización para procesos de evaluación, auditoría, certificación o acreditación.
- Posee una buena base documental en tres libros: El método, Catálogo de elementos, y Guía de Técnicas, que son de accesos público.
- Posee herramientas para el análisis de riesgo como PILAR.
Desventajas:
- En su modelo no involucra los procesos, ni vulnerabilidades.