Las metodologias son marcos de referencias en donde se indican los pasos o pautas para llevar a cabo un adecuado análisis de riesgos, de forma general el proceso que las metodologias que enmarcan son los siguientes:
- Determinar los activos más importantes para la organización a la cual se está auditando
- Se le debe otorgar valor a cada uno de los activos que previamente se han identificado.
- Se debe determinar las amenazas a las cuales se encuentran expuestos cada uno de los activos.
- Se debe estimar el impacto que genera la amenaza en cada uno de los activos.
- Se debe calcular el nivel de riesgo.
Con la implementación de alguna de las metodologías que se exponen a continuación lo que se busca es garantizarle a la empresa la tranquilidad de tener identificados sus riesgos y controles lo cual le van a permitir actuar en el momento de una eventual materialización de los riesgos o evitar que se presenten.
A continuación haremos una identificación de las metodologías que existen para el análisis de riesgos.
1. OCTAVE
En OCTAVE, los activos incluyen personas, hardware y software, información y sistemas. Los activos se ordenan según la importancia que tienen para los objetivos de la organización y posibles amenazas y vulnerabilidades asociados a dichos activos así como el impacto que generaría un problema en dicho activo.
2. MAGERIT
Metodología de análisis y gestión de riesgos de los sistemas de información, promovida por el ministerio de administraciones públicas de España.
La razón de ser de MAGERIT está directamente relacionada
con la generalización del uso de las tecnologías de la información, que supone
unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos
riesgos que deben minimizarse con medidas de seguridad que generen confianza.
MAGERIT interesa a todos aquellos que
trabajan con información digital y sistemas informáticos para tratarla. Si
dicha información, o los servicios que se prestan gracias a ella, son valiosos,
MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a
protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo
es, simplemente, imprescindible para poder gestionarlos. Con MAGERIT se
persigue una aproximación metódica que no deje lugar a la improvisación, ni
dependa de la arbitrariedad del analista.
3. ISO/IEC 27005:2011
Es un estándar para la gestión de riesgos de la seguridad de la información.
Etapas y fases que se desarrollan en este estándar.
1. Establecimiento del contexto
2. Valoración del riesgo
3. Tratamiento del riesgo
4. Aceptación del riesgo
5. Comunicación del riesgo
6. Monitoreo y revisión
No hay comentarios:
Publicar un comentario
Muchas gracias por tu comentario.