Академический Документы
Профессиональный Документы
Культура Документы
http://www.cyta.com.ar/ta1001/v10n1a3.htm
Technical note
Resumen
En ste trabajo se presenta una metodologa de rpida aplicacin que implementa los pasos necesarios para analizar un sistema, identificar las amenazas, las vulnerabilidades asociadas, calcular la probabilidad de ocurrencia de esas amenazas, determinar del impacto en caso de su materializacin y por ultimo la obtencin del riesgo al que se est expuesto. As, esta metodologa sera una herramienta de fcil implementacin en una organizacin mediana pequea que le permitira identificar y gestionar los riesgos de tecnologa de la informacin. El anlisis de riesgos es el primer punto de la gestin de la seguridad de la informacin de una organizacin, y es necesario para realizar la gestin de los riesgos, es decir, tomar la decisin de eliminarlos, ignorarlos, transferirlos o mitigarlos y controlarlos, es decir realizar la gestin de riesgos.
Introduccin
El proceso para desarrollar la nueva metodologa comenz con la investigacin y el estudio pormenorizado de las principales metodologas existentes en el mercado para al anlisis de los riesgos informticos. En ste trabajo se presenta el anlisis de las tres metodologas mas usadas, con el fin de determinar en forma detallada sobre como es su funcionamiento y cules son sus fortalezas y debilidades. Las metodologas estudiadas son Magerit, Octave y Mehari. Como resultado de este anlisis se identificaron e incorporaron esas fortalezas en el diseo de la nueva metodologa de anlisis de riesgos informticos en cuestin. Los lmites en el alcance de este trabajo fueron no haber incorporado elementos de otras metodologas existentes, fuera de las que no se mencionaron anteriormente. Esto nos permiti obtener los mejores elementos de cada una de estas metodologas a fin de disear y obtener una nueva a partir de ellos.
1 of 5
CyTA
http://www.cyta.com.ar/ta1001/v10n1a3.htm
2 of 5
CyTA
http://www.cyta.com.ar/ta1001/v10n1a3.htm
Magerit Anlisis de Riesgos Gestin de Riesgos Octave Construccin de los Perfiles de Amenazas Basados en Activos Identificacin de la Infraestructura de Vulnerabilidades Desarrollo de Planes y Estrategias de Seguridad Mehari Diagnstico de Seguridad Anlisis de los Intereses Implicados por la Seguridad Anlisis de Riesgos Del anlisis de cada una de ellas se identific como elementos funcionales importantes a incorporar en la metodologa bsica los siguientes: 6.1. Principales elementos de Magerit Escalas de valores cualitativos, cuantitativos y de indisponibilidad del servicio. Modelo de frecuencia de una amenaza como una tasa anual de ocurrencia. Escala alternativa de estimacin del riesgo. Catlogos de amenazas Catlogos de medidas de control 6.2. Principales elementos de Octave Medidas de probabilidad considerando un rango de frecuencias. Anlisis del lmite entre niveles de probabilidad. 6.3. Principales elementos de Mehari Niveles de categoras de controles Niveles de calidad de los servicios de seguridad Evaluacin de la calidad del servicio por medio de cuestionarios Tabla modelo de impactos 6.4. Aportes seleccionados para agregar a la nueva metodologa base Reestructuracin amenaza. Reestructuracin Reestructuracin Incorporacin de investigadas. de escala de niveles de probabilidad de ocurrencia de una de escala de niveles de valoracin del impacto. de escala de niveles de determinacin del riesgo. nuevo material bibliogrfico aportado por las metodologas
3 of 5
CyTA
http://www.cyta.com.ar/ta1001/v10n1a3.htm
similitudes y caractersticas propias de cada una de ellas, logrando obtener como resultado cuatros fases y con procedimientos implementados en cada uno de ellos. A continuacin se detalla una breve descripcin de cmo se abord el diseo de estas cuatro fases mencionadas: a) Caracterizacin del sistema c) Identificacin de vulnerabilidades d) Anlisis de controles etapas de la metodologa base
De las etapas anteriores se obtiene la Fase I de la siguiente manera: Fase I: identificacin y evaluacin de los elementos crticos de la organizacin Esta fase contempla 2 procesos: 1. Identificar, Analizar y Valorar los Activos de la Organizacin. 2. Analizar la Vulnerabilidad y Determinar la Calidad de los Controles o Servicios de Seguridad Continuando de igual manera con otras dos etapas de la metodologa base, tenemos: b) Identificacin de amenazas e) Determinacin ocurrencia de la probabilidad de Etapas base de la metodologa
De las etapas anteriores se obtiene la Fase II de la siguiente manera: Fase II: determinacin de las amenazas e impactos sobre los activos relacionados Esta fase contempla 2 procesos: 1. Identificar y Determinar las Amenazas en Relacin a los Activos Crticos. 2. Definir la Probabilidad de ocurrencia de una amenaza. Seguimos con otras dos etapas de la metodologa base: f) Anlisis del impacto g) Determinacin del Riesgo Etapas de la metodologa base
De las etapas anteriores se obtiene la Fase III de la siguiente manera: Fase III: anlisis del impacto y del riesgo Esta fase contempla 2 procesos: 1. Valorizar y Estimar el Impacto sobre los Activos Crticos. 2. Analizar y Estimar el Riesgo Finalmente tomamos las dos ltimas etapas de la metodologa base: h) Recomendaciones de Control i) Documentacin de resultados Etapas de la metodologa base
De las etapas anteriores se obtiene la Fase IV de la siguiente manera: Fase IV: gestin de riesgos Esta fase contempla 3 procesos:
4 of 5
CyTA
http://www.cyta.com.ar/ta1001/v10n1a3.htm
1. Interpretacin de los Resultados 2. Determinar Medidas de Seguridad 3. Documentacin del Proceso de Anlisis de los Riesgos
8. Conclusiones
De esta manera hemos logrado implementar un procedimiento que evale las distintas situaciones de riesgos. La nueva metodologa permitir analizar y administrar riesgos en los siguientes niveles: Evaluacin de los activos informticos sujetos a riesgos. Evaluacin de los servicios de seguridad o controles existentes. Evaluacin de amenazas o causas de riesgos. Determinacin y valoracin del dao causado. Estimacin del nivel de riesgo y determinacin de controles. Es as que pasamos a tener en un esquema mas concentrado de solo 5 etapas tomando las mejores combinaciones de los elementos que manejan las tres metodologas mas difundidas de la administracin de los riesgos informticos. Se ha verificado en distintos escenarios de estudio que esta simplificacin favorece la implementacin de la misma en las organizaciones y permite lograr un cambio de paradigma en la toma de decisiones cuando se deben gestionar los riesgos.
9. Bibliografa
Norma IRAM-ISO/IEC 27005 - Tecnologa de la informacin. Tcnicas de seguridad. Gestin del riesgo de seguridad en la informacin, 2008, Instituto Argentino de Normalizacin y Certificacin Maas. Jos Antonio, 2006, MAGERIT versin 2. Metodologa de anlisis y Gestin de Riesgos de los Sistemas de Informacin. Ministerio de Administraciones Pblicas. Espaa. Mehari 2010, Club de la Securite de lnformation Franais CLUSIF, Francia Christopher J. Alberts; Audrey J. Dorofee y Julia H. Allen, 2001, OCTAVE catalogue of practices, version 2.0, Carnegie Mellon, Software Engineering Institute, USA.
Recibido el: 25-01-2011; Aprobado el: 03-01-2011 Tcnica Administrativa ISSN 1666-1680 http://www.cyta.com.ar URL http://www.cyta.com.ar/ta1001/v10n1a3.htm Vol.:10 Nro.:01 Buenos Aires, 15-01-2011
5 of 5