En el mundo en que vivimos todos los días, las empresas son expuestas a muchos peligros, por personas, por sucesos de origen físicos o por medios naturales. Por tal motivo están expuestas a muchos riesgos. Para las empresas estos riesgos tienen que ser clasificados por tipo y nivel de riesgo, por este motivo para decidir si este riesgo es aceptable hay que realizar un análisis de riesgo. Estos análisis de riesgo tratan de examinar, medir, prevenir los fallos de las empresas que pueden iniciar cosas indeseadas, que pueden poner en peligro a personas y los datos de información (bases de datos, cuentas, mensajes, etc.) por este motivo les mostrare varias metodologías de análisis de de riesgo.
OCTAVE:
Esta metodología es una de las más usadas mundialmente, sus siglas son (Operationally Critical THreats Assets and Vulnerability Evaluation), este método divide los activos en sistemas (hardware, software y datos) y personas. Estos
activos son organizados mediante las posibles amenazas y vulnerabilidades, octave tiene tres métodos que son:
-Octave método original: este método se creó con grandes organizaciones, este método se centra en: identificar las amenazas de activos, identificar las vulnerabilidades y desarrollar una estrategia de protección.
-Octave-s: Para organizaciones pequeñas
-Octave-allegro: método simplificado para evaluar la seguridad de la información.
MAGERIT: metodología para investigar riesgos y pod
er utilizar las mejores medidas para poder controlar estos riesgos. Esta metodología fue diseñad
a SSITAD. Magerit pretende estudiar los riesgos para identificar las amenazas del sistema y poder descubrir su vulnerabilidad.
Esta aplicación nos permite:
-reaccionar con el estado de la seguridad del sistema
y tomar sus respectivas medidas.
-abarcar todos los elementos del sistema de información
Magerit se divide en tres submodelos que son: submodelo de elementos, submodelo de eventos, submodelo de procesos. Magerit determina los riesgos utilizando estos pasos:
-mirar los activos relevantes para la organización
-mirar que activos están más expuestos a amenazas
-calcular el impacto
-valorar estos activos dependiendo el coste para recup
erar dicho activo
Magerit consta de siete guías que son:
-guía de aproximación
-guía de procedimientos
-guía de técnicas
-guia para responsables del domino protegible
-guia para desarrolladores de aplicaciones
-arquitectura de la información y especificaciones de la interfaz para el intercambio de datos
-referencia de normas legales y técnicas.
CRAMM: lo creo el central agency of data processing and telecommunications.
Se divide en tres partes que son:
-establecimiento de objetivos de seguridad
-análisis de riesgos
-identificación y selección de salvaguardas
Cramm brinda un enfoque por etapas técnicas (hardware y software) y no técnicas (físico y humano), identificas características físicas, s
oftware, datos y ubicación de los activos que hacen parte del sistema de información. Los activos físicos se valoran con el costo y los activos de datos se valoran en términos de impacto si la información fuera a estar disponible, destruida, divulgada o modificada.
No hay comentarios:
Publicar un comentario