Metodologías para el análisis de riesgos en los sgsi

Helena Alemán Novoa, Claudia Rodríguez Barrera

Resumen


Preservar la seguridad de los sistemas informáticos en la actualidad exige agotar una de las etapas más importantes que corresponde a la dentificación, análisis y tratamiento de riesgos en toda la organización,
dando a conocer oportunidades y amenazas que le permitan alcanzar sus objetivos de negocio y realizar una gestión proactiva. En este artículo se presenta una descripción general de las metodologías más relevantes de análisis de riesgos, Octave, Magerit, Mehari, NIST SP 800:30, Coras, Cramm y Ebios, aplicadas en el ámbito de la seguridad informática, lo que permitirá contextualizar y concientizar a las organizaciones en la necesidad de aplicarlas para la implementación de mecanismos de seguridad de
acuerdo con los riesgos y amenazas identificados y, a su vez, integrar esta  etapa dentro de los Sistemas de Gestión de Seguridad Informática SGSI con base en las normas y estándares existentes.

Palabras clave


análisis de riesgos; gestión de riesgos; metodologías; seguridad; vulnerabilidad; SGSI.

Texto completo:

PDF HTML

Referencias


C. Cerra, ISO 31000:2009. Herramienta para evaluar la gestión de riesgo, Uruguay. [On Line]. Disponible en: http://www.isaca.org/chapters8/Montevideo/cigras/Documents/cigras2011-cserra-presentacion1%20modo%20de%20compatibilidad.pdf.

M. Castro, El Nuevo Estándar para la Gestión del Riesgo. [On Line]. Disponible en: http://www.surlatina.cl/contenidos/archivos_articulos13-el%20nuevo%20estandar%20iso%20para%20la%20gestion%20del%20riesgo.pdf

ISO 31000:2009-Setting a New Standard for Risk Management, Risk Analysis, Vol. 30, No. 6, 2010 [On Line]. Disponible en: http://esvc001356.wic015u.server-web.com/pdfs/articles/art_riskanalysis_iso31000.pdf

E. Daltabuit, L. Hernández, J. Vázquez. La Seguridad de la Información, México: Limusa Noriega Editores S.A., 2009.

M. Doris. Metodologías de la seguridad informática. [On line]. Disponible en: http://seguridadinformatica.bligoo.ec/media/users/22/1142179/files/312461/Metodologia_de_la_Seguridad_Ing.pdf

J. Eterovic y G. Pagliari, Metodología de Análisis de Riesgos Informáticos. [Online]. Disponible en: http://www.cyta.com.ar/ta1001/v10n1a3.htm.

E. José (2013, Septiembre), Octave, Metodología para el análisis de riesgos de TI, Periódico de los universitarios Universo, [On line]. Disponible en: http://www.uv.mx/universo/535/infgral/infgral_08.html

G. Camilo (2013, Mayo) Magerit: metodología práctica para gestionar riesgos, welivesecurity en español [On line]. Disponible en: http://www.welivesecurity.com/la-es/2013/05/14/magerit-metodologia-practicapara-gestionar-riesgos/

Club de la securite de lìnformation francais, mehari, [On line]. Disponible en: https://www.clusif.asso.fr/fr/production/ouvrages/pdf/MEHARI-2010-Introduccion.pdf

NIST, information security, national Institute of Standards and Technology [On line]. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-30-rev1/sp800_30_r1.pdf

Metodología Coras (Construct a platform for Risk Analysis of Security critical system) [On line]. Disponible en: http://seguridades7a.blogspot.com/p/coras.html

A. Ana, Análisis de Riesgos en Seguridad de la Información, Ciencia Innovación y Tecnología, Facultad de Ingeniería. Fundación Universitaria Juan de Castellanos.

P. Jose. Metodologías y normas para el análisis de riesgos. ISACA, [On line]. Disponible en: http://www.isaca.org/chapters7/Monterrey/Events/Documents/20100302%20Metodolog%C3%ADas%20de%2Riesgos%20TI.pdf

R. Gómez, D. H. Pérez, Y. Donoso y A. Herrera. (2012, Enero) Metodología y gobierno de la gestión de riesgos de tecnologías de la información. [On line]. Disponible en: https://revistaing.uniandes.edu.co/pdf/A10%2031.pdf

Atos Consulting, Metodología ISIS, Guía para el Diseño y Elaboración de Planes de Sistemas en Asociaciones de Mujeres. (2007, Abril). [On line]. Disponible en: http://www.celem.org/pdfs/GUIA_ISIS_DEF_acrobat.pdf

Magerit v.3: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, [On line]. Disponible en: http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.VRMl5_yG8ms

M. Juan. Planes de Contingencia: La Continuidad del Negocio en las Organizaciones, España: Ediciones Díaz de Santos, 2006.

Icontec, Norma Técnica Colombiana, NTC – ISO 31000, Gestión del Riesgo Principios y Directrices, Colombia: Edición Icontec, 2011.

Magerit v.3: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, [On line]. Disponible en: https://www.ccn-cert.cni.es/publico/herramientas/Pilar-5.4.1/web/magerit/Libro_I_metodo.pdf.

B. David y R. Camilo. Modelo para la cuantificación del riesgo telemático en una organización, Venezuela: Red Enlace, 2010.

Ministerio de Admisiones Públicas. Magerit Versión 2- Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, [On line]. Disponible en: http://www.defensa.gob.es/eu/Galerias/politica/infraestructura/sistemas-cis/DGN-CIS-metodo-v11-final.pdf

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, Guía para responsables del dominio protegible [On line]. Disponible en: http://dis.um.es/~barzana/Curso03_04/MAGERIT.pdf

Guía avanzada de gestión de riesgos, Inteco (2008, diciembre), [On line]. Disponible en: https://www.incibe.es/file/TnOIvX7kM5r8OY-S8r9Bmg

A. Carvajal, (2008). Análisis y Gestión del Riesgo, Base Fundamental del SGSI, Caso: Metodología Magerit [On line]. Disponible en: http://52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/17-ElAnalisis-RiesgosBaseSistemaGestionSeguridadInformacionCasoMagerit.pdf

Club de la Sécurité de l’Information Français, Mehari, [On line]. Disponible en: http://www.clusif.asso.fr/en/clusif/present/

M. Gallardo, P. Jácome (2011, Febrero). Análisis de Riesgos Informáticos y Elaboración de un Plan de Contingencia T.I. para la Empresa eléctrica Quito S.A. [On line]. Disponible en: http://bibdigital.epn.edu.ec/bitstream/15000/3790/1/CD-3510.pdf

M. Crespo. (2014), El Análisis de Riesgos dentro de un Auditoría Informática: Pasos y Posibles Metodologías, [On line]. Disponible en: http://hinaluz.blogspot.com/

Seguridad informática, objetivos de las metodologías de análisis de riesgos, (2014, Marzo) [On line]. Disponible

en: http://seguridadinformaticaunad.blogspot.com/2014/03/metodologias-de-evaluacion-delriesgo.html

G. Luz. (2014, Marzo), Metodologías Riesgo y Control Informático, [On line]. Disponible en: http://hinaluz.blogspot.com/

J. Poveda, (2011, Marzo). Análisis y valoración de los Riesgos Metodologías On line]. Disponible en: https://jmpovedar.files.wordpress.com/2011/03/mc3b3dulo-8.pdf

C. Camilo. Metodología para el Análisis de Riesgos, (2014, diciembre) [On line]. Disponible en: http://camilo-cruz-ucatolica-riesgos.blogspot.com/2014/12/mehari.html

M. Crespo, (2013), El Análisis de Riesgos dentro de una Auditoría Informática: Pasos y posibles metodologías

[On line]. Disponible en: http://e-archivo.uc3m.es/bitstream/handle/10016/16802/PFC_Carmen_Crespo_Rin.pdf?sequence=1

R. Alexandra, O. Zulima. (2011), Gestión de Riesgos tecnológicos basada en ISO 31000 e ISO 27005 y su aporte a la continuidad de negocios, Ingeniería 16(2), 56-66.

V. Avalos, “Desarrollo de una aplicación para la gestión de riesgos en los sistemas de información utilizando la guía metodológica NIST SP 800-30 caso práctico Liceo Del Valle”, Tesis, Escuela Politécnica del Ejército, [On line]. Disponible en: http://repositorio.espe.edu.ec/handle/21000/2333

Seguridad 7”A”Metodología NIST SP 800-30 (National Institute of Standards and Technology), [On line]. Disponible en: http://seguridades7a.blogspot.com/p/nist-sp-800-30.html.

Comisión interamericana de Telecomunicaciones, gestión de riesgos de seguridad (2009), [On line]. Disponible en: http://www.oas.org/en/citel/infocitel/2009/septiembre/seguridad_e.asp

C. Jonathan. Gestión del riesgo en las metodologías de proyectos de tecnologías de información y comunicaciones (2013).

M. Luis y G. Diego. Validación de un método ágil para el análisis de riesgos de la información digital, [On line]. Disponible en: http://investigaciones.usbcali.edu.co/ockham/images/volumenes/Volumen9N2/vol9n2_07.pdf

Análisis y Modelado de Amenazas, metal.hacktimes.com (2006) [On line]. Disponible en: https://fortinux.com/wp-content/uploads/2010/12/Analisis-y-Modelado-de-Amenazas.pdf

M. Juan. (2009), Análisis de Riesgos de Seguridad, [On line]. Disponible en: http://oa.upm.es/1646/1/PFC_JUAN_MANUEL_MATALOBOS_VEIGAa.pdf

Análisis de amenazas en ataques dirigidos tipoAPT: caso práctico con el método Coras Security Advisors,(2014), [On line]. Disponible en: https://ssaasesores.es/wordpress/blog/2014/06/02/analisis-deamenazas-en-ataques-dirigidos-tipo-apt-caso-practico-con-el-metodo-coras/

C. Elvis, Metodología para el análisis de riesgos en seguridad informática, ), [On line]. Disponible en: http://msnseguridad.blogspot.com/2012/08/seguridad-informatica-la-seguridad.html

Seguridad en Redes de Telecomunicaciones e Informática, CRAMM: Software para el manejo de Riesgos (2010, Julio) [On line]. Disponible en: http://seguridaddigitalvenezuela.blogspot.com/2010/07/cramm-software-para-el-manejo-de.htm

Documento de Seguridad y defensa 60. Estrategia de la información y seguridad en el ciberespacio, Centro Superior de Estudios de la Defensa Nacional y Escuela de Altos Estudios de la defensa. Editorial Ministerio de defensa (2014) [On line]. Disponible en: http://www.uma.es/foroparalapazenelmediterraneo/wpcontent/uploads/2014/07/dsegd_60.pd

C. Leonardo. Seguridad de la Información en Colombia (2010, Mayo) [On line]. Disponible en http://seguridadinformacioncolombia.blogspot.com/2010/05/gestion-de-riesgos.html

UNFV- Seguridad & auditoría, metodología para identificar la amenaza de los activos (ll), (2011, Junio) [On line]. Disponible en: http://villarrealino-seguridadyauditoria.blogspot.com/2011/06/metodologia-paraidentificar-la-amenaza.html

D. Márquez y A.V. Marcano. Modelo de Estrategias Integrales de Seguridad Para La Infraestructura de Red De Datos. Caso de Estudio: Universidad de Oriente Núcleo Monagas. Panamá. [On line] Disponible en: http://www.laccei.org/LACCEI2012-Panama/RefereedPapers/RP099.pdf

Tangient LLC. (2014). EBIOS - Metodología Francesa Análisis y Gestión de Riesgos. Retrieved marzo 21, 2014, from EBIOS - Metodología Francesa Análisis y Gestión de Riesgos: [On line]. Disponible en: http://seguridadinformaticaufps.wikispaces.com/EBIOS+y-Metodologia+Francesa+Analisis+y+Gesti%C3%B3n+de+Riesgos

Ebios Advanced Practioner, Metodología EBIOS, 2015 [On line]. Disponible en: https://www.phosforea.com/main/es/pdf/05/ebios_advanced_practitioner.pdf

ANSSI, la méthode EBIOS. [On line]. Disponible en: http://www.ssi.gouv.fr/guide/ebios-2010-expressiondes-

besoins-et-identification-des-objectifs-de-securite/ .Republique Francaise, Premier Ministre, Secrétariat général de la défense nationale, El método EBIOS, [On line]. Disponible en: http://www.ssi.gouv.fr/archive/es/confianza/documents/methods/ebiosv2-methode-plaquette-2003-09-01_es.pdf




DOI: http://dx.doi.org/10.22490/25394088.1435

Licencia de Creative Commons
Este obra está bajo una licencia de Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional.

Licencia de Creative Commons
Revista Publicaciones e Investigación is licensed under a Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional License.