sábado, 3 de octubre de 2015

Metodología MAGERIT Para Análisis de Riesgo Informático

El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.


Metodología MAGERIT (Metodología de Análisis y Gestión de Riesgos de IT)

Es una metodología que se esfuerza por enfatizarse en dividir los activos de la organización en variados grupos, para identificar más riesgos y poder tomar contramedidas para  evitar así cualquier inconveniente.

Objetivos

Objetivos Directos
  • Concienciar a los responsables de los sistemas de información de la existencia  de riesgos y de la necesidad de atajarlos a tiempo. 
  • Ofrecer un método sistemático para analizar tales riesgos 
  • Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo  control
Objetivos Indirectos
  • Preparar a la Organización  para procesos de evaluación, auditoria,  certificación o acreditación, según corresponda en cada  caso..

Sub Modelos

Sub Modelo De Elementos
  • Es este submodelo se clasifican 6 elementos básicos que son: activos, amenazas, vulnerabilidades, impacto, riesgo, salvaguarda.
Sub Modelo De Eventos
  • Aquí se clasifican los elementos anteriores en tres formas: dinámico  físico, dinámico organizativo y estático.
Sub Modelo De Procesos
  • Se definen en 4 etapas: análisis de riesgo, planificación, gestión de riesgo y selección de salvaguardas

Volúmenes

Volumen I - Método
  • Es el volumen principal en el que se explica detalladamente la  metodología.

Volumen II – Catalogo  de elementos

  • Complementa el volumen principal proporcionando diversos inventarios de utilidad en la aplicación de la metodología. 
Volumen III – Guía de  técnicas
  • Complementa el volumen principal proporcionando una introducción de algunas de técnicas a utilizar en las  distintas fases del análisis de riesgos. 

Tecnicas

  • Análisis mediante tablas  
  • Análisis algorítmico 
  • Árboles de ataque 
  • Técnicas generales o  
  • Análisis coste-beneficio  
  • Diagramas de flujo de datos (DFD) 
  • Diagramas de procesos 
  • Técnicas gráficas 
  • Planificación de proyectos 
  • Sesiones de trabajo: entrevistas, reuniones y
  • presentaciones
  • Valoración Delphi

No hay comentarios: