Metodologías para el análisis de riesgos en los sgsi
PDF
HTML

Palabras clave

análisis de riesgos
gestión de riesgos
metodologías
seguridad
vulnerabilidad
SGSI.

Cómo citar

Alemán Novoa, H., & Rodríguez Barrera, C. (2015). Metodologías para el análisis de riesgos en los sgsi. Publicaciones E Investigación, 9, 73 - 86. https://doi.org/10.22490/25394088.1435

Resumen

Preservar la seguridad de los sistemas informáticos en la actualidad exige agotar una de las etapas más importantes que corresponde a la dentificación, análisis y tratamiento de riesgos en toda la organización,
dando a conocer oportunidades y amenazas que le permitan alcanzar sus objetivos de negocio y realizar una gestión proactiva. En este artículo se presenta una descripción general de las metodologías más relevantes de análisis de riesgos, Octave, Magerit, Mehari, NIST SP 800:30, Coras, Cramm y Ebios, aplicadas en el ámbito de la seguridad informática, lo que permitirá contextualizar y concientizar a las organizaciones en la necesidad de aplicarlas para la implementación de mecanismos de seguridad de
acuerdo con los riesgos y amenazas identificados y, a su vez, integrar esta  etapa dentro de los Sistemas de Gestión de Seguridad Informática SGSI con base en las normas y estándares existentes.
https://doi.org/10.22490/25394088.1435
PDF
HTML

Citas

C. Cerra, ISO 31000:2009. Herramienta para evaluar la gestión de riesgo, Uruguay. [On Line]. Disponible en: http://www.isaca.org/chapters8/Montevideo/cigras/Documents/cigras2011-cserra-presentacion1%20modo%20de%20compatibilidad.pdf.

M. Castro, El Nuevo Estándar para la Gestión del Riesgo. [On Line]. Disponible en: http://www.surlatina.cl/contenidos/archivos_articulos13-el%20nuevo%20estandar%20iso%20para%20la%20gestion%20del%20riesgo.pdf

ISO 31000:2009-Setting a New Standard for Risk Management, Risk Analysis, Vol. 30, No. 6, 2010 [On Line]. Disponible en: http://esvc001356.wic015u.server-web.com/pdfs/articles/art_riskanalysis_iso31000.pdf

E. Daltabuit, L. Hernández, J. Vázquez. La Seguridad de la Información, México: Limusa Noriega Editores S.A., 2009.

M. Doris. Metodologías de la seguridad informática. [On line]. Disponible en: http://seguridadinformatica.bligoo.ec/media/users/22/1142179/files/312461/Metodologia_de_la_Seguridad_Ing.pdf

J. Eterovic y G. Pagliari, Metodología de Análisis de Riesgos Informáticos. [Online]. Disponible en: http://www.cyta.com.ar/ta1001/v10n1a3.htm.

E. José (2013, Septiembre), Octave, Metodología para el análisis de riesgos de TI, Periódico de los universitarios Universo, [On line]. Disponible en: http://www.uv.mx/universo/535/infgral/infgral_08.html

G. Camilo (2013, Mayo) Magerit: metodología práctica para gestionar riesgos, welivesecurity en español [On line]. Disponible en: http://www.welivesecurity.com/la-es/2013/05/14/magerit-metodologia-practicapara-gestionar-riesgos/

Club de la securite de lìnformation francais, mehari, [On line]. Disponible en: https://www.clusif.asso.fr/fr/production/ouvrages/pdf/MEHARI-2010-Introduccion.pdf

NIST, information security, national Institute of Standards and Technology [On line]. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-30-rev1/sp800_30_r1.pdf

Metodología Coras (Construct a platform for Risk Analysis of Security critical system) [On line]. Disponible en: http://seguridades7a.blogspot.com/p/coras.html

A. Ana, Análisis de Riesgos en Seguridad de la Información, Ciencia Innovación y Tecnología, Facultad de Ingeniería. Fundación Universitaria Juan de Castellanos.

P. Jose. Metodologías y normas para el análisis de riesgos. ISACA, [On line]. Disponible en: http://www.isaca.org/chapters7/Monterrey/Events/Documents/20100302%20Metodolog%C3%ADas%20de%2Riesgos%20TI.pdf

R. Gómez, D. H. Pérez, Y. Donoso y A. Herrera. (2012, Enero) Metodología y gobierno de la gestión de riesgos de tecnologías de la información. [On line]. Disponible en: https://revistaing.uniandes.edu.co/pdf/A10%2031.pdf

Atos Consulting, Metodología ISIS, Guía para el Diseño y Elaboración de Planes de Sistemas en Asociaciones de Mujeres. (2007, Abril). [On line]. Disponible en: http://www.celem.org/pdfs/GUIA_ISIS_DEF_acrobat.pdf

Magerit v.3: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, [On line]. Disponible en: http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.VRMl5_yG8ms

M. Juan. Planes de Contingencia: La Continuidad del Negocio en las Organizaciones, España: Ediciones Díaz de Santos, 2006.

Icontec, Norma Técnica Colombiana, NTC – ISO 31000, Gestión del Riesgo Principios y Directrices, Colombia: Edición Icontec, 2011.

Magerit v.3: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, [On line]. Disponible en: https://www.ccn-cert.cni.es/publico/herramientas/Pilar-5.4.1/web/magerit/Libro_I_metodo.pdf.

B. David y R. Camilo. Modelo para la cuantificación del riesgo telemático en una organización, Venezuela: Red Enlace, 2010.

Ministerio de Admisiones Públicas. Magerit Versión 2- Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, [On line]. Disponible en: http://www.defensa.gob.es/eu/Galerias/politica/infraestructura/sistemas-cis/DGN-CIS-metodo-v11-final.pdf

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, Guía para responsables del dominio protegible [On line]. Disponible en: http://dis.um.es/~barzana/Curso03_04/MAGERIT.pdf

Guía avanzada de gestión de riesgos, Inteco (2008, diciembre), [On line]. Disponible en: https://www.incibe.es/file/TnOIvX7kM5r8OY-S8r9Bmg

A. Carvajal, (2008). Análisis y Gestión del Riesgo, Base Fundamental del SGSI, Caso: Metodología Magerit [On line]. Disponible en: http://52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/17-ElAnalisis-RiesgosBaseSistemaGestionSeguridadInformacionCasoMagerit.pdf

Club de la Sécurité de l’Information Français, Mehari, [On line]. Disponible en: http://www.clusif.asso.fr/en/clusif/present/

M. Gallardo, P. Jácome (2011, Febrero). Análisis de Riesgos Informáticos y Elaboración de un Plan de Contingencia T.I. para la Empresa eléctrica Quito S.A. [On line]. Disponible en: http://bibdigital.epn.edu.ec/bitstream/15000/3790/1/CD-3510.pdf

M. Crespo. (2014), El Análisis de Riesgos dentro de un Auditoría Informática: Pasos y Posibles Metodologías, [On line]. Disponible en: http://hinaluz.blogspot.com/

Seguridad informática, objetivos de las metodologías de análisis de riesgos, (2014, Marzo) [On line]. Disponible

en: http://seguridadinformaticaunad.blogspot.com/2014/03/metodologias-de-evaluacion-delriesgo.html

G. Luz. (2014, Marzo), Metodologías Riesgo y Control Informático, [On line]. Disponible en: http://hinaluz.blogspot.com/

J. Poveda, (2011, Marzo). Análisis y valoración de los Riesgos Metodologías On line]. Disponible en: https://jmpovedar.files.wordpress.com/2011/03/mc3b3dulo-8.pdf

C. Camilo. Metodología para el Análisis de Riesgos, (2014, diciembre) [On line]. Disponible en: http://camilo-cruz-ucatolica-riesgos.blogspot.com/2014/12/mehari.html

M. Crespo, (2013), El Análisis de Riesgos dentro de una Auditoría Informática: Pasos y posibles metodologías

[On line]. Disponible en: http://e-archivo.uc3m.es/bitstream/handle/10016/16802/PFC_Carmen_Crespo_Rin.pdf?sequence=1

R. Alexandra, O. Zulima. (2011), Gestión de Riesgos tecnológicos basada en ISO 31000 e ISO 27005 y su aporte a la continuidad de negocios, Ingeniería 16(2), 56-66.

V. Avalos, “Desarrollo de una aplicación para la gestión de riesgos en los sistemas de información utilizando la guía metodológica NIST SP 800-30 caso práctico Liceo Del Valle”, Tesis, Escuela Politécnica del Ejército, [On line]. Disponible en: http://repositorio.espe.edu.ec/handle/21000/2333

Seguridad 7”A”Metodología NIST SP 800-30 (National Institute of Standards and Technology), [On line]. Disponible en: http://seguridades7a.blogspot.com/p/nist-sp-800-30.html.

Comisión interamericana de Telecomunicaciones, gestión de riesgos de seguridad (2009), [On line]. Disponible en: http://www.oas.org/en/citel/infocitel/2009/septiembre/seguridad_e.asp

C. Jonathan. Gestión del riesgo en las metodologías de proyectos de tecnologías de información y comunicaciones (2013).

M. Luis y G. Diego. Validación de un método ágil para el análisis de riesgos de la información digital, [On line]. Disponible en: http://investigaciones.usbcali.edu.co/ockham/images/volumenes/Volumen9N2/vol9n2_07.pdf

Análisis y Modelado de Amenazas, metal.hacktimes.com (2006) [On line]. Disponible en: https://fortinux.com/wp-content/uploads/2010/12/Analisis-y-Modelado-de-Amenazas.pdf

M. Juan. (2009), Análisis de Riesgos de Seguridad, [On line]. Disponible en: http://oa.upm.es/1646/1/PFC_JUAN_MANUEL_MATALOBOS_VEIGAa.pdf

Análisis de amenazas en ataques dirigidos tipoAPT: caso práctico con el método Coras Security Advisors,(2014), [On line]. Disponible en: https://ssaasesores.es/wordpress/blog/2014/06/02/analisis-deamenazas-en-ataques-dirigidos-tipo-apt-caso-practico-con-el-metodo-coras/

C. Elvis, Metodología para el análisis de riesgos en seguridad informática, ), [On line]. Disponible en: http://msnseguridad.blogspot.com/2012/08/seguridad-informatica-la-seguridad.html

Seguridad en Redes de Telecomunicaciones e Informática, CRAMM: Software para el manejo de Riesgos (2010, Julio) [On line]. Disponible en: http://seguridaddigitalvenezuela.blogspot.com/2010/07/cramm-software-para-el-manejo-de.htm

Documento de Seguridad y defensa 60. Estrategia de la información y seguridad en el ciberespacio, Centro Superior de Estudios de la Defensa Nacional y Escuela de Altos Estudios de la defensa. Editorial Ministerio de defensa (2014) [On line]. Disponible en: http://www.uma.es/foroparalapazenelmediterraneo/wpcontent/uploads/2014/07/dsegd_60.pd

C. Leonardo. Seguridad de la Información en Colombia (2010, Mayo) [On line]. Disponible en http://seguridadinformacioncolombia.blogspot.com/2010/05/gestion-de-riesgos.html

UNFV- Seguridad & auditoría, metodología para identificar la amenaza de los activos (ll), (2011, Junio) [On line]. Disponible en: http://villarrealino-seguridadyauditoria.blogspot.com/2011/06/metodologia-paraidentificar-la-amenaza.html

D. Márquez y A.V. Marcano. Modelo de Estrategias Integrales de Seguridad Para La Infraestructura de Red De Datos. Caso de Estudio: Universidad de Oriente Núcleo Monagas. Panamá. [On line] Disponible en: http://www.laccei.org/LACCEI2012-Panama/RefereedPapers/RP099.pdf

Tangient LLC. (2014). EBIOS - Metodología Francesa Análisis y Gestión de Riesgos. Retrieved marzo 21, 2014, from EBIOS - Metodología Francesa Análisis y Gestión de Riesgos: [On line]. Disponible en: http://seguridadinformaticaufps.wikispaces.com/EBIOS+y-Metodologia+Francesa+Analisis+y+Gesti%C3%B3n+de+Riesgos

Ebios Advanced Practioner, Metodología EBIOS, 2015 [On line]. Disponible en: https://www.phosforea.com/main/es/pdf/05/ebios_advanced_practitioner.pdf

ANSSI, la méthode EBIOS. [On line]. Disponible en: http://www.ssi.gouv.fr/guide/ebios-2010-expressiondes-

besoins-et-identification-des-objectifs-de-securite/ .Republique Francaise, Premier Ministre, Secrétariat général de la défense nationale, El método EBIOS, [On line]. Disponible en: http://www.ssi.gouv.fr/archive/es/confianza/documents/methods/ebiosv2-methode-plaquette-2003-09-01_es.pdf

Creative Commons License
Esta obra está bajo licencia internacional Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0.

Derechos de autor 2016 Publicaciones e Investigación

Detalle de visitas

PDF: 770
HTML: 17800
Resumen: 2269