Metodologías de Análisis y Evaluación de Riesgo

Home          |       Metodología Octave

Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos y por ello actualmente en el mercado existen variedad de metodologías y  herramientas desarrolladas para la identificación y evaluación de riesgos, y el establecimiento de un plan de contramedidas.

Las metodologías para realización, análisis y administración de riesgos más reconocidas se enuncian a continuación, todas cumplen con el mismo objetivo, su diferencia se determina en la forma de presentación de los resultados:


1- MANUAL DE SEGURIDAD DE TI AUSTRIACO (Austrian IT Security Handbook). Consta de dos partes, en la primera parte se describe el proceso de la gestión de la seguridad de TI, incluyendo el desarrollo de políticas de seguridad, análisis de riesgos, diseño de conceptos de seguridad, la aplicación de plan de seguridad y las actividades de seguimiento y la segunda parte es un colección de 230 medidas de seguridad. Es compatible con la Norma ISO/IEC IS 13335 y la ISO 27002.

2- CRAMM (CCTA Risk Analysis and Management Method), metodología de análisis y gestión de riesgos desarrollada por el antiguo CCTA (Central Communication and Telecommunication Agency) ahora denominado Oficina de Comercio Gubernamiental OGC (Office of Government Commerce), desarrollado por el gobierno británico. Está basado en las mejores prácticas de la administración pública británica. Es el método preferido por el gobierno del Reino Unido.

3- ANÁLISIS HOLANDÉS A&K (Dutch A&K Analysis). Es método de análisis de riesgos, del que hay publicado un manual, que ha sido desarrollado por el  Ministerio de Asuntos Internos de Holanda. Es el único método para el análisis de riesgos usado por los organismos del gobierno desde 1994.

4- EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), metodología francesa de análisis y gestión de riesgos de seguridad de sistemas de información. Consta de un ciclo de 5 fases (Análisis del contexto,   Análisis de las necesidades de seguridad y de las amenazas, Resolución del conflicto y pruebas de su cumplimiento.

5- ISAMM (Information Security Assessment & Monitoring Method): es un método de apoyo a la gestión del riesgo SGSI. Se ha diseñado y mejorado continuamente. Es una metodología cuantitativa de gestión de riesgos. Soportada en ISO/IEC 27001  e ISO/IEC 27002  

6- MÉTODOS ISF PARA LA EVALUACIÓN Y GESTIÓN DE RIESGOS.  El Information Security Forum. (ISF) es una importante asociación internacional. Su Estándar de Buenas  Prácticas es un conjunto de principios y objetivos para la seguridad de la información. El Estándar cubre la gestión de la seguridad a nivel corporativo, las aplicaciones  críticas del negocio, las instalaciones de los sistemas de información, las redes y el desarrollo de sistemas. El  Estándar contiene metodología para el seguimiento y control del riesgo, gestión del riesgo y para analizar el riesgo en sistemas críticos.

7-  ISO/IEC 13335-2: Es una norma que describe el proceso de gestión de riesgos de seguridad de información de una manera genérica. Los anexos incluyen ejemplos de la información de riesgo enfoques de evaluación de seguridad, así como listas de posibles amenazas, las vulnerabilidades y los controles de seguridad.

8-    IT-GRUNDSCHUTZ (Manual de protección básica de TI): metodología Alemana de la Oficina Federal de la Seguridad de la Información (BSI). Proporciona un método para establecer un SGSI en cualquier organización, con  recomendaciones técnicas para su implantación. La metodología incluye listas de amenazas y controles de seguridad que se pueden ajustar a las necesidades de cada organización

9-  MAGERIT, metodología española de análisis y gestión de riesgos para los sistemas de información, promovida por el MAP y diferente a la UNE 71504. Describe los pasos para realizar un análisis del estado de riesgo y para gestionar su mitigación,  detalla las tareas para llevarlo a cabo y  contempla aspectos prácticos para la realización de un análisis y una gestión realmente efectivos.

10- MARION (Metodología de Análisis de Riesgos informáticos Dirigida por niveles) desarrollada por CLUSIF. Metodología de auditoría que  permite identificar los riesgos (amenazas y vulnerabilidades) y estimar el nivel de los riesgos de seguridad de TI de una empresa.

11- MEHARI: es la metodología de análisis y gestión de riesgos desarrollada por la CLUSIF (CLUb de la Sécurité de l’Information Français) en 1995 y deriva de las metodologías previas Melissa y Marion. La metodología ha evolucionado proporcionando una guía de implantación de la seguridad en una entidad a lo largo del ciclo de vida. Del mismo modo, evalúa riesgos en base a los criterios de disponibilidad, integridad y confidencialidad.

12- MIGRA (Metodologia Integrata per la Gestione del Rischio Aziendale): es una metodología cualitativa de evaluación y gestión de riesgos adecuada para hacer frente tanto la información como los riesgos de los activos tangibles.

13- OCTAVE (Operationally Critical Threat, Asset,and Vulnerability EvaluationSM), metodología de evaluación de riesgos desarrollada por el SEI (Software Engineering Institute) de la Carnegie Mellon University.

14- NISTP SP-800-30 (National Institute of Standards and Technology): metodología para el análisis y gestión de riesgos de seguridad de la información, alineada y complementaria con el resto de documentos de la serie SP 800

___________________

Referencias Bibliograficas

Cardenas, E. (Agosto de 2012). Metodologías para el análisis de riesgos en Seguridad Informática. Recuperado el 08 de Marzo de 2014, de Blog Seguridad Informática: http://msnseguridad.blogspot.com/2012/08/seguridad-informatica-la-seguridad.html

Gomez, R. &. (Junio de 2010). Metodología y gobierno de la gestión de riesgos de tecnologías de la información. Recuperado el 03 de Marzo de 2014, de Revista de Ingeniería, Facultad de Ingeniería, Universidad de los Andes. Edicion 31.: http://www.scielo.org.co/scielo.php?pid=S0121-49932010000100012&script=sci_arttext

Gonzalez, J. (Mayo de 2012). Metodologías de análisis. Recuperado el 08 de Marzo de 2014, de Blog Personal Jazmin Gonzalez: http://upiicsa-ha4cm1.blogspot.com/2012/05/ha4cm1-gonzalez-jazmin.html

Huerta, A. (s.f.). Introducción al análisis de riesgos – Metodologías (I). Recuperado el 08 de Marzo de 2014, de securityartwork: http://www.securityartwork.es/2012/03/30/introduccion-al-analisis-de-riesgos-metodologias-i/

Huerta, A. (s.f.). Introducción al análisis de riesgos – Metodologías (II). Recuperado el 08 de Marzo de 2014, de securityartwork: http://www.securityartwork.es/2012/03/30/introduccion-al-analisis-de-riesgos-metodologias-ii/

Poveda, J. (Marzo de 2011). Módulo 8: Análisis y Valoración de Riesgos. Recuperado el 08 de Marzo de 2014, de wordpress: http://jmpovedar.files.wordpress.com/2011/03/mc3b3dulo-8.pdf

Salesiana, U. P. (s.f.). Conceptualización para el Análisis de riesgos. Recuperado el 03 de Marzo de 2014, de http://dspace.ups.edu.ec/bitstream/123456789/573/4/CAPITULO2.pdf

Santander, B. U. (s.f.). Seguridad Informatica. Recuperado el 08 de Marzo de 2014, de http://seguridadinformaticaufps.wikispaces.com/metodologiaanalisisygestionderiesgos