Tipos de Metodologías de Análisis de Riesgo

El proceso de evaluación contemplado por MAGERIT es:

1. Análisis de Riesgos
2. Gestión de Riesgos

• OCTAVE (se basa en el SISTEMAS):

• Determinar los activos relevantes para la organización.
• Determinar a qué amenazas están expuestos aquellos activos.
• Estimar el impacto, definido como daño sobre el activo derivado de la materialización de la amenaza.
• Determinar qué controles hay dispuestos y qué tan eficaces son frente al riesgo.
• Estimar el riesgo, definido como el impacto ponderando con la probabilidad de ocurrencia de la amenaza.

El proceso de evaluación contemplado por OCTAVE se divide en tres fases:

1. Construcción de perfiles de amenazas basadas en activos.
2. Identificación de vulnerabilidades en la infraestructura.
3. Desarrollo de estrategias y planes de seguridad.

• MONTE CARLOS: El método de Monte Carlo es una herramienta de investigación y planeamiento; básicamente es una técnica de muestreo artificial, empleada para operar numéricamente sistemas complejos que tengan componentes aleatorios.
• NIST: La Metodología NIST SP 800-30 está compuesta por 9 pasos básicos para el análisis de riesgo:
  • Caracterización del sistema.
  • Identificación de amenaza.
  • Identificación de vulnerabilidades.
  • Control de análisis.
  • Determinación del riesgo.
  • Análisis de impacto.
  •  Determinación del riesgo.
  • Recomendaciones de control.
  •  Resultado de la implementación o documentación.

• MOSLE o PENTA:

1ª Fase: Definición del Riesgo: En esta fase se realiza la identificación del riesgo. Es decir, definimos cuál es el riesgo en concreto que vamos a estudiar. Es conveniente preparar una “Ficha o Cuadro del Riesgo” donde se recoja el riesgo propiamente dicho, su localización, cuál es el bien objeto de nuestra protección y cuál es el daño que puede sufrir si el riesgo llega a materializarse.

2ª Fase: Análisis del Riesgo: Es la fase más compleja del proceso. En ella se analiza el riesgo siguiendo una serie de criterios, que se cuantifican en base a una escala numérica del 1 al 5, de ahí que el Método Mosler sea también conocido como método Penta. Estos criterios son:

–          Función (F): se cuantifican las consecuencias negativas o daños que pueden alterar la actividad.

–          Sustitución (S): se cuantifica la dificultad para sustituir los bienes afectados.

–          Profundidad (P): se cuantifica el grado de perturbación y los efectos psicológicos que produciría en la actividad e imagen de la empresa.

–          Extensión (E): se cuantifica el alcance de los daños, según su amplitud, desde un nivel local hasta internacional.

–          Agresión (A): se cuantifica la probabilidad de que el riesgo se manifieste o materialice.

–           Vulnerabilidad (V): cuantifica la probabilidad de los daños que puede producir el riesgo una vez materializado.

3ª Fase: Evaluación del Riesgo: En esta fase, con los datos numéricos obtenidos en la anterior,  se cuantifica el riesgo que se está estudiando. Mediante la relación de dos conceptos: Carácter del Riesgo (C) y la Probabilidad (P), obtenemos un valor numérico resultante conocido como Riesgo Estimado (ER)

4ª Fase: Clasificación del Riesgo: con el valor del Riesgo Estimado (ER) y mediante su comparación  con una tabla de Criterio de Valoración del Riesgo obtenemos una valoración final del mismo, que va desde Muy Bajo a Elevado. De esta forma habremos clasificado el riesgo y dispondremos del indicador específico que nos ayude a decidir, si es necesario adoptar medidas correctoras que minimicen ese riesgo o si por el contrario puede ser asumido por la empresa.

• MEHARI (se basa en el ORGANIZACIÓN): desarrollado por CLUSIF (Club de la Sécurité de l’Information Français), se basa en mantener los riesgos a un nivel convenido mediante un análisis riguroso y una evaluación cuantitativa de los factores de riesgo.

El proceso de evaluación contemplado por MAGERIT es:

1. Diagnóstico de Seguridad
2. Análisis de los Intereses Implicados por la Seguridad
3. Análisis de Riesgos

• CRAMM: es la metodología de análisis de riesgos desarrollado por el Centro de Informática y la Agencia Nacional de Telecomunicaciones (CCTA ) del gobierno del Reino Unido.

El significado del acrónimo proviene de CCTA Risk Analysis and Management Method.

• Activos de modelado de dependencia
• Evaluación de impacto empresarial
• Identificación y evaluación de amenazas y vulnerabilidades
• Evaluar los niveles de riesgo
• La identificación de los controles necesarios y justificados sobre la base de la evaluación del riesgo.
• Un enfoque flexible para la evaluación de riesgos.

• METRICA 3: está estructurada en Fases, Módulos, Actividades y Tareas.

El objetivo es describir el alcance y los requisitos del sistema, generando diferentes alternativas para resolver el problema. Se elige una de ellas y se han de generar las especificaciones formales que describen el sistema propuesto.

o   FASE 0: PLAN DE SISTEMAS DE INFORMACIÓN

o   FASE 1:  ANÁLISIS DE SISTEMAS

o   FASE 2: DISEÑO DE SISTEMAS

o   FASE 3: CONSTRUCCIÓN DE SISTEMAS

o   FASE 4: IMPLANTACIÓN DE SISTEMAS

• PRIMA: metodología del tipo cualitativo/subjetivo con jerarquías que según sean preservación: vital-critica –valuada –no sensible. O protección: altamente confidencial -confidencial -restringida -no sensible.

o   Identificación de la información

o   Inventario de entidades de información residentes y operativas

o   Identificación de propietarios

o   Definición de jerarquías de información

o   Definición de la matriz de clasificación

o   Confección de la matriz de clasificación

o   Realización del plan de acciones

o   Implantación y mantenimiento

• DAFP: Fortalecer la implementación y desarrollo de la política de la administración del riesgo a través del adecuado tratamiento de los riesgos para garantizar el cumplimiento de la misión y objetivos institucionales de las entidades de la Administración Pública.

o   Generar una visión sistémica acerca de la administración y evaluación de riesgos, consolidada en un Ambiente de Control adecuado a la entidad y un Direccionamiento Estratégico que fije la orientación clara y planeada de la gestión dando las bases para el adecuado desarrollo de las Actividades de Control.

o   Proteger los recursos del Estado, resguardándolos contra la materialización de los riesgos.

o   Introducir dentro de los procesos y procedimientos las acciones de mitigación resultado de la administración del riesgo.

o   Involucrar y comprometer a todos los servidores de las entidades de la Administración Pública en la búsqueda de acciones encaminadas a prevenir y administrar los riesgos.

o   Propender a que cada entidad interactúe con otras para fortalecer su desarrollo y mantener la buena imagen y las buenas relaciones.

o   Asegurar el cumplimiento de normas, leyes y regulaciones.

o

• COBIT (Objetivos de control para la información y tecnologías relacionadas):Para proveer la información que requiere la organización para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y ejecutados acorde a prácticas normalmente aceptadas.

PILAR/EART: son herramientas para automatizar el proceso de análisis de riesgo.

CITICUS ONE: Es una aplicación basada en web, que ofrece una alta eficiencia y un continuo método de medición y administración de riesgos de la información, riesgos de suministros y otras áreas de riesgos operacionales de toda la empresa.

Según las necesidades de debe de seleccionar la Metodología de Análisis de Riesgo

Organización

Ej. Mehari se usaría para una empresa muy grande (57 server – 185 terminales móviles – 600 equipos – 1200 usuarios).

Servicios

Ej.: Octave: segundamano.com, lo más importante es el servicio.

Riesgos

Ej.: Magerit: una panadería con 2 usuarios y 5 terminales móviles, básicamente hay que minimizar los riesgos.