¿QUÉ ES MEJOR?

PRESENTADO POR:

JOSE EDUARDO HERNANDEZ POLANCO

PRESENTADO A:

ING. JUAN JOSE CRUZ GARZÓN

FUNDACIÓN UNIVERSITARIA ÁREA ANDINA

ANÁLISIS DE RIESGOS INFORMÁTICOS

INGENIERÍA DE SISTEMAS

2019
 INTRODUCCIÓN

La seguridad de la información es un tema de mucha relevancia ya que en la

actualidad se considera como uno de los activos más importantes para la operación
de las organizaciones, independientemente de su naturaleza o actividad. Cuanto
mejor sea utilizada esta información, puede ser explotada de tal manera que se
convierte en una ventaja competitiva y en una herramienta de soporte en la toma de
decisiones y cumplimiento de los objetivos estratégicos para una organización.

Con la creciente disponibilidad de dispositivos móviles y computadores en todo el

mundo, más datos se procesan en cortos períodos de tiempo y debido al desarrollo
de nuevas plataformas tecnológicas y la cambiante interacción entre ellas, la
superficie de exposición de las empresas ha aumentado de manera significativa.
Esto implica que existe un mayor número de vectores de ataque que pueden ser
utilizados para comprometer la seguridad de los datos. La masificación de las
Tecnologías de Información (TI) y su adopción en las empresas, las han convertido
también en blanco de ataques, con los riesgos asociados que aumentan y se
transforman; por ello, se hace necesario crear y adaptar constantemente los medios
y métodos utilizados en la seguridad de la información, para conservar la
información crítica o sensible que las organizaciones actualmente necesitan
proteger.

Con la gestión del riesgo es posible mitigar de manera significativa la materialización

de las amenazas y la reducción del impacto sin necesidad de hacer elevadas
inversiones tanto en estructura fisca como personal. Para logras esto, es necesario
conocer y gestionar de manera ordenada los riesgos a los que se encuentra
expuesto el sistema de información, considerando procedimientos adecuados para
planificar e implantar los controles de seguridad correspondientes.
Registre en las categorías de análisis las condiciones específicas respecto a cómo lo asume el modelo. Por
ejemplo: el modelo MEHARI, categoría: Activos, los considera…

Método Categorías
o
Modelo Activos Contexto Controles Análisis
Ayuda a descubrir y planificar las
Detalla la metodología desde tres
medidas oportunas para mantener los
perspectivas: describe los pasos
riesgos bajo control y apoyar en la
para realizar un análisis del estado
Se interesan por su valor preparación de la organización para El proceso de análisis de riesgos lo
del riesgo y gestionar su mitigación;
no dejando a un lado la procesos de evaluación, auditoría, desarrolla en las siguientes etapas:
describe las tareas básicas para
Magerit importancia del impacto realizar un proyecto de análisis y
certificación o acreditación; así mismo, planificación, análisis de riesgos,
residual y minimizando el una de sus mayores ventajas es que gestión de riesgos y selección de
gestión de riesgos y uno de sus
riesgo residual. las decisiones que deban tomarse y salvaguardas
capítulos aplica la metodología al
que tengan que ser validadas por la
caso del desarrollo de Sistemas de
dirección estarán fundamentadas y
Información (SI).
serán fácilmente defendibles.
Este modelo tiene la capacidad de
Se puede definir como una Este análisis debe incluir las amenazas
incluir un listado de más de 3.500
Metodología para el análisis y a las que se encuentran expuestos los
Este los considera de una medidas de seguridad o contención
gestión de riesgos encaminada a activos y señalar las vulnerabilidades a
manera en la cual se revisa que se pueden aplicar en la
Cramm su calidad y se cuantifica brindar confidencialidad, integridad
implementación del modelo para
través de las cuales estas se pueden
y disponibilidad de los sistemas de materializar y calcular el riesgo que
su valor. mitigar el impacto de una amenaza y
información mediante el uso de una puede implicar que una de ellas lo
obtener lo que se conoce como riesgo
evaluación mixta. haga.
residual.
Es una técnica de organización,
proyección, clasificación y consultoría
La metodología Octave orienta a la importante en seguridad de la Su objetivo de análisis se encuentra
Este ofrece varias organización para que dirija y información establecida en el riesgo; enfocado básicamente en concientizar
metodologías que pueden gestione sus evaluaciones de esta técnica logra su misión en tres a la organización en cuanto a que la
garantizar a las riesgo, tome decisiones basadas en procesos: auto dirigido, flexible y seguridad informática no es un asunto
Octave organizaciones la sus riesgos, proteja los activos evolucionado, que, a su vez, se solamente técnico, y presentar los
administración y seguridad críticos de información y comunique desarrolla en tres fases: perfiles de estándares internacionales que guían
de sus activos. de forma efectiva la información amenazas basados en activos, la implementación de seguridad de
clave de seguridad. identificación de vulnerabilidades de la aquellos aspectos no técnicos.
infraestructura y desarrollo de
estrategia y planes de seguridad.
 Es un procedimiento de sistemas de Propone un análisis riguroso de los
Este modelo es más
auditoría y evaluación de riesgos; la Mehari propone un módulo para principales factores de riesgo,
completo al resto, ya que
gestión se diseñó y programó para analizar los intereses implicados por la evaluando cuantitativamente, de
brinda soporte y apoyo a
un análisis profundo y verídico de seguridad y un método de análisis de acuerdo con la situación de la
las organizaciones a
los riesgos en sistemas riesgos con herramientas de apoyo, el organización, dónde se requiere el
gestionar de forma
Mehari adecuada sus plataformas
informáticos. Cuenta con tres principal objetivo de Mehari es análisis; acopla los objetivos
módulos: análisis o evaluación de proporcionar un método para la estratégicos existentes con los nuevos
de información a través de
riesgos, evaluación de seguridad evaluación y gestión de riesgos, métodos de funcionamiento de la
buenas prácticas y
(centrada en el análisis de concretamente en el dominio de la empresa mediante una política de
conocimientos técnicos
vulnerabilidades) y análisis de seguridad de la información. seguridad y mantenimiento de los
avanzados.
amenazas. riesgos a un nivel convenido.
Su aplicación permite la detección de
Este propone a las fallas de seguridad, inconsistencias,
organizaciones que redundancia y el descubrimiento de Maneja una metodología de análisis de
Se trata de una técnica que es muy
empleen formatos vulnerabilidades de seguridad, riesgos basados en la elaboración de
útil para equipos heterogéneos que
Coras estandarizados de informes
intenten identificar vulnerabilidades
exploradas en siete etapas: modelos y un editor gráfico en el cual
sobre sus activos bajo un presentación, análisis de alto nivel, se diseñan los modelos de lenguaje
y amenazas a sus activos de valor.
lenguaje de programación aprobación, identificación de riesgos, basados en Microsoft Visio.
UML. estimación de riesgo, evaluación de
riesgo y tratamiento del riesgo.
Este sugiere un Esta herramienta permite evaluar y
Es una metodología francesa de
procedimiento abordar los riesgos relacionados con la Esta metodología se basa en el
análisis y gestión de riesgos de
metodológico que le seguridad informática promoviendo análisis y estudio de contexto, estudio
seguridad de sistemas de
permita a las una eficaz comunicación dentro de la de las medidas de seguridad, estudio
Ebios organizaciones tener una
información que comprende un
organización y entre sus socios, dando de eventos peligrosos, estudio de los
conjunto de guías y herramientas
visión global y coherente cumpliendo a los últimos estándares escenarios de amenazas, y estudio de
de código libre, enfocada a gestores
de la seguridad de la de la ISO 27001, 27005 y 31000 [50] los riesgos.
del riesgo de TI.
información. para la gestión de riesgos.
Registre con base en los resultados de la comparación las ventajas y
desventajas de cada uno de los métodos que se analizan (al menos cinco).

METODOLOGÍA VENTAJAS DESVENTAJAS

No en cuenta el análisis de
vulnerabilidades.
Tiene un alcance completo en el análisis y
Posee falencias en el inventario de
gestión de riesgos.
políticas.
Es libre y no requiere autorización para su uso.
Se considera una metodología costosa
Utiliza un completo análisis de riesgo
en su aplicación.
cuantitativo y cualitativo.
Magerit Preparar a la organización para procesos de
En su modelo no involucra los
procesos, recursos, ni vulnerabilidades
evaluación, auditoría, certificación o
como elementos del modelo a
acreditación.
seguir.
Está bien documentada en cuanto a recursos
No toma en cuenta el principio de no
de información, amenazas o tipo de activos.
repudio de la información como
objetivo de seguridad.
Su modelo no tiene contemplado
Identifica y clasifica los activos de TI.
elementos como procesos y recursos.
Realiza un análisis de riesgo cuantitativo y
No toma en cuenta el principio de no
cualitativo.
repudio de la información.
Combina análisis y evaluación de riesgos.
La estimación del impacto se realiza en
Identifica y evalúa amenazas y
Cramm vulnerabilidades, evalúa niveles de riesgo e
el proceso de gestión y evaluación de
riesgos.
identifica los controles requeridos.
Hay que pagar el costo de la licencia de
Aplica los conceptos de manera formal,
autorización.
estructurada y disciplinada protegiendo los
Posee falencias en el inventario de
principios de seguridad y sus activos.
políticas.
Se requiere de amplios conocimientos
previos.
Involucra a todo el personal de la organización. No define claramente los activos de
Desarrolla planes y estrategias de seguridad. información.
Relaciona las amenazas y vulnerabilidades. Utiliza muchos documentos en el
Octave Construye los perfiles de amenazas basados en proceso de análisis de riesgos.
los activos. No toma en cuenta el principio de no
Identifica la infraestructura de las repudio de la información.
vulnerabilidades. Se debe comprar la licencia si se quiere
implementar la metodología a un
tercero.
La recomendación de los controles no
Usa un modelo de análisis de riesgos cualitativo la incluye dentro del análisis de riesgos
y cuantitativo. sino en la gestión de los riesgos.
Evalúa y logra la disminución de riesgos en La estimación del impacto se realiza en
función del tipo de organización. el proceso de gestión y evaluación de
Posee bases de datos de conocimientos con riesgos.
manuales, guías y herramientas que permiten Sólo toma en cuenta los principios de
Mehari realizar el análisis de riesgos cuando sea confidencialidad,
necesario. integridad y disponibilidad de la
Complementa y acopla a las necesidades de la información como
norma ISO 27001, 27002 Y 27005 para definir objetivos de seguridad, dejando a un
los SGSI y la gestión de riesgos. lado el no
Detección de vulnerabilidades mediante repudio.
auditorias y análisis las situaciones de riesgo. Se requiere de amplios conocimientos
previos.
 No toma en cuenta el principio de no
Propone una metodología de análisis de
repudio de la información.
riesgos basado en la elaboración de modelos.
No realiza análisis de riesgos
Provee un repositorio de paquetes de
cuantitativos.
experiencias reutilizables.
Su modelo no tiene contemplado
Basada en modelos de riesgos de sistemas de
Coras seguridad críticos.
elementos como procesos y
dependencias.
Útil en el desarrollo y mantenimiento de nuevos
Posee falencias en el inventario de
sistemas.
políticas.
Provee un reporte de vulnerabilidades
Se requiere de amplios conocimientos
encontradas.
previos.
Es una herramienta de negociación y de
arbitraje.
Es utilizada para múltiples finalidades y
Se constituye más como una
procedimientos de seguridad.
herramienta de soporte.
Se acopla al cumplimiento de los estándares
Se requiere de amplios conocimientos
Ebios ISO 27001, 27005 y 31000.
previos.
Herramienta de código libre y reutilizable.
No define claramente los activos de
Ayuda a las organizaciones a tener un mayor
información.
reconocimiento en sus actividades de
seguridad ya que tiene compatibilidad con las
normas ISO.

En un texto no inferior a dos párrafos (10 renglones Arial 12) seleccione un

método que usted recomendaría implementar en su organización y argumente
por qué. Debe citar al menos un autor que sustente su recomendación.

OCTAVE equilibra aspectos de riesgos operativos, prácticas de seguridad y

tecnología para que, a partir de éstos, los entes empresariales puedan tomar
decisiones de protección de información basado en los principios de la seguridad
de la información. Esta metodología persigue dos objetivos específicos que son:
concientizar a la organización que la seguridad informática no es un asunto
solamente técnico y presentar los estándares internacionales que guían la
implementación de seguridad de aquellos aspectos no técnicos.

Con una metodología de análisis de riesgos como OCTAVE la empresa puede

obtener beneficios como: dirigir y gestionar adecuadamente sus evaluaciones de
riesgos, tomar decisiones basándose en los mismos, proteger los activos de
información y, por último, comunicar de forma efectiva la información que es la clave
de seguridad, además, es adaptable a todo tipo de organización
independientemente del entorno porque se basa en los riesgos.

Ana Abril - Jarol Pulido - John A. Bohada.

 CONCLUSIÓN

La necesidad de salvaguardar la información dentro de la organizaciones ha

conllevado a la creación de distintas maneras de tener estándares de seguridad que
permitan tener bajo control las amenazas a las que esta se encuentra expuesta, de
ahí vienen las metodologías de análisis y gestión de riesgos dentro de los SGSI, lo
que permitirá dar a conocer las debilidades y fortalezas con que cuenta una
organización por cada uno de sus activos informáticos; se logrará identificar y
valorar los procesos más críticos del negocio, con el propósito de evaluar el nivel de
protección adecuado, determinar y evaluar las amenazas y su grado de efectividad
para hacer frente a los riesgos y calcular el nivel de los mismos, de tal forma, que la
organización conozca con detalle la probabilidad de materialización de cada una de
las amenazas y el impacto que estas pueden ocasionar.

Cada una de las metodologías anteriormente expuestas ofrece un método

sistematizado para identificar y analizar los riesgos, además de planificar las
medidas necesarias para reducirlos y brindan herramientas que faciliten su análisis.
Las metodologías Octave, Magerit, Mehari, NIST SP 800, Coras, Cramm y Ebios
poseen sus propias características y se complementan entre sí, lo que les permite,
a su vez, combinar otros enfoques que hacen el proceso de análisis y gestión de los
riesgos más robusto y eficiente.
REFERENCIAS BIBLIOGRAFICAS

• Abril Estupiñan, A., Pulido, J., & Bohada Jaime, J. (2013). Análisis de riesgos
en seguridad de la información. Ciencia, Innovación Y Tecnología, 1, 40-53.
Recuperado a partir de
https://www.jdc.edu.co/revistas/index.php/rciyt/article/view/121
• López, L. (2019). Administración basada en procesos. Bogotá: Fundación
universitaria del área andina.
• Gómez, R; Pérez, D; Donoso, Y; Herrera, Andrea. Metodología y gobierno
de la gestión de riesgos de tecnologías de la información. Revista de
Ingeniería, núm. 31, enero-junio, 2010, pp. 109-118. Universidad de Los
Andes. Bogotá, Colombia.
• Alemán, H; Rodríguez, C. Metodologías para el análisis de riesgos en los
sgsi. Revista especializada de Ingeniería, núm. 9, mayo-junio, 2014, pp. 73-
86. Universidad Nacional Abierta y a Distancia. Tunja, Boyacá, Colombia.