Estudio sobre metodologías de análisis de riesgos

Compartir
Facebook Twitter Copiar enlace WhatsApp LinkedIn

Resultados

Los marcos de gestión de riesgo definen una estructura sobre la cual las organizaciones pueden construir todos los procesos relacionados con la identificación, el análisis, la evaluación y la gestión de los riesgos de seguridad de la información y las metodologías de gestión de riesgos proporcionan orientación sistemática sobre cómo identificar, analizar, evaluar y gestionar el riesgo, siendo menos flexibles que los marcos, debido a su especificidad.

A partir del puntaje obtenido por cada una de las metodologías analizadas, se profundizó en las metodologías que obtuvieron un puntaje superior a los 25 puntos.
Las metodologías que obtuvieron un puntaje superior son OCTAVE, NIST y MAGERIT con 26 puntos.
Se analizaron las ventajas y desventajas de dichas metodologías conforme al objetivo del presente documento.

OCTAVE 
Ventajas:

  • Auto dirigible. Se puede desarrollar por personas de la misma organización, utilizando un equipo multidisciplinario.
  • Involucra a personas de todas las áreas.
  • Permite construir perfiles de amenazas basados en los activos.
  • Permite identificar las vulnerabilidades.
  • Facilita el desarrollo de planes y estrategias de seguridad.
  • Comprende las etapas de análisis y gestión de riesgos.
  • Involucra procesos, activos, dependencias, recursos, vulnerabilidades, amenazas y contramedidas.
  • Relaciona amenazas y vulnerabilidades.
  • Su uso es gratuito.

Desventajas:

  • Utiliza muchos documentos anexos para llevar a cabo el proceso de análisis de riesgos, lo que puede resultar tedioso y complicado de entender.
  • Se requiere habilidades previas en gestión de riesgos. 
  • Se debe solicitar autorización al SEI para la utilización completa o parcial del material específico aclarando que intención de distribución se tiene. 

NIST, 
Ventajas: 

  • Proporciona un conjunto de guías para la gestión y evaluación de riesgos de Seguridad de la Información. (SP 800-30, SP 800-37, SP 800-53, SP 800-53A)
  • Presenta un resumen de los elementos clave de las pruebas de seguridad técnica y la evaluación con énfasis de técnicas específicas, sus beneficios, limitaciones y recomendaciones para su uso.
  • Las guías proveen herramientas para la valoración y mitigación de riesgos.
  • Asegura los sistemas informáticos que almacenan, procesan y transmiten información.
  • Mejora la administración a partir de los resultados del análisis de riesgos.
  • Se aplica a todas las etapas del proceso de gestión de riesgos.

Desventajas:

  • En el modelo no se tiene contemplados elementos como los procesos, los activos ni las dependencias.

MAGERIT,   
Ventajas:

  • Alcance completo en el análisis y gestión de riesgos.
  • Está bien documentado en cuanto a recursos de información, amenazas y tipos de activos.
  • Utiliza un completo análisis de riesgo cuantitativos y cualitativos.
  • El libre y no requiere autorización para su uso.
  • Divide los activos de la organización en diferentes grupos, para identificar más riesgos y poder tomar contramedidas para evitar así cualquier riesgo.
  • Se centra en tres objetivos: concientizar sobre la existencia de los riesgos de la necesidad de atajarlos a tiempo, ofrecer un método sistemático para analizar tales riesgos, ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.
  • Preparar a la organización para procesos de evaluación, auditoría, certificación o acreditación.
  • Posee una buena base documental en tres libros: El método, Catálogo de elementos, y Guía de Técnicas, que son de accesos público.
  • Posee herramientas para el análisis de riesgo como PILAR.

Desventajas:

  • En su modelo no involucra los procesos, ni vulnerabilidades.

Etiquetas

Gestión y auditoría de Seguridad de la Información Políticas de Ciberseguridad Ciberseguridad Herramientas para organismos Política Digital del Uruguay