Metodologías para el análisis de riesgos en Seguridad Informatica

En esta entrada es con el propósito de de dar a conocer los tipos de metodologías que existen para un análisis de riesgo en la seguridad informática. También le daré a conocer las diferencias o la comparación de los tipos de metodología para el análisis de riesgo.

Existen diferentes métodos para el análisis de riesgos de la seguridad informática. Algunos de los métodos o metodologías son:

• Metodología MAGERIT.
• Metodología OCTAVE.
• Metodología NIST SP 800-30.

Las Metodologías anteriores se puede decir o aclarar que en si buscan lo mismo, analizar los riesgos informáticos en una compañía u organización.

Cual es la diferencias entre dichas metodologías ?

"

La metodología MAGERIT es una de las mas utilizadas ya que se encuentra en español. MAGERIT esta basado en tres submodelos. Los submodelos son:

1. Submodelo de elementos: Es este submodelo se clasifican 6 elementos básicos que son: activos, amenazas, vulnerabilidades, impacto, riesgo, salvaguarda.
2. Submodelo de eventos: Aquí se clasifican los elementos anteriores en tres formas: dinámico físico, dinámico organizativo y estático.
3. Submodelo de procesos: Se definen en 4 etapas: análisis de riesgo, planificación, gestion de riesgo y selección de salvaguardas.

La metodología OCTAVE esta compuesta en tres fases:

1. Visión de organización: Donde se definen los siguientes elementos: activos, vulnerabilidades de organización, amenazas, exigencias de seguridad y normas existentes.
2. Visión tecnológica: se clasifican en dos componentes o elementos: componentes claves y vulnerabilidades técnicas.
3. Planificación de las medidas y reducción de los riesgos: se clasifican en los siguientes elementos: evaluación de los riesgos, estrategia de proteccion, ponderacion de los riesgos y plano de reduccion de los riesgos.

La Metodología NIST SP 800-30 esta compuesta por 9 pasos basicos para el analisis de riesgo:

1. Caracterización del sistema.
2. Identificación de amenazas.
3. Identificación de vulnerabilidades.
4. Control de análisis.
5. Determinación del riesgo.
6. Análisis de impacto.
7. Determinación del riesgo.
8. Recomendaciones de control.
9. Resultado de la implementacion o documentacion.

".

Como podemos ver en los enunciados anteriores de las metodologías, podemos sacar varias conclusiones. Una de ellas es que todas las metodologías para el análisis de riesgo siempre esta en busca de realizar un buen análisis de riesgo. Pero la diferencia es que cada metodología maneja sus propios conceptos y una forma diferente de adquirir un análisis de riesgo. En si todas las metodologías hacen lo mismo pero con diferente estructura a la hota de realizar un análisis de riesgo.

Enlaces de interés:

http://www.isdecisions.com/es/conformidad/metodologica/octave.cfm

http://www.coit.es/publicac/publbit/bit128/bitcd1/legisla/pg5m21.htm

http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

http://es.scribd.com/doc/36343741/Tabla-Comparativa-Magerit-Nist

http://seguridadenlasredes.files.wordpress.com/2010/08/tabla-comparativa.pdf