miércoles, 27 de febrero de 2008

Metodologías y Mejores Prácticas

Para llevar a cabo el proceso de análisis del riesgo, existen diversas metodologías que son utilizadas, entre algunas de las más importante se puede mencionar a:

- MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información). Elaborada por el Consejo Superior de Administración Electrónica de España, es una metodología de carácter público, perteneciente al Ministerio de Administraciones Públicas [6]. Tiene como objetivo estudiar los riesgos que soporta un sistema de información y el entorno asociado a él. Está conformada por una serie de técnicas específicas para el análisis de riesgos, análisis mediante tablas, análisis algorítmico, árboles de ataque, técnicas generales, análisis costo-beneficio, entre otros.

Más información http://www.csi.map.es/csi/pg5m20.htm

- EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité - Expresión de las Necesidades e Identificación de los Objetivos de Seguridad). Es promovido por la Dirección Central de Seguridad de Sistemas de Información (DCSSI-Francia) como norma internacional. Es un software de asistencia bajo licencia libre. Su enfoque simple y modular le permite adaptarse a todos los contextos y a distintas acciones de seguridad. Permite apreciar y tratar los riesgos relativos a la seguridad de los sistemas de información (SSI).

Más información http://www.ssi.gouv.fr/fr/index.html

- OSSTMM (Open Source Security Testing Methodology Manual). Manual de metodología Abierta de Testeo de Seguridad es una metodología para realizar análisis de vulnerabilidad que está basada en entregar resultados cuantificables y que ha sido desarrollada dentro de un proyecto de comunidad Open Source. Es la respuesta cuando un analista de seguridad informática se pregunta por dónde empezar, qué y cómo analizar, cómo presentar los resultados.

Más información http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf

- OWASP (Open Web Application Security Project). Es un organismo sin ánimo de lucro creado en Estados Unidos y que cuenta con más de 60 capítulos locales repartidos en todo el mundo. Su objetivo es ayudar a las empresas a entender y mejorar la seguridad de sus aplicaciones y servicios Web. El proyecto crea documentación, herramientas y estándares Open Source sobre seguridad en Aplicaciones Web gracias a expertos de la comunidad internacional que, de forma voluntaria, colaboran en los distintos proyecto.

Más información http://www.owasp.org/index.php/Main_Page

Enfoque cuantitativo de análisis de riesgos

Este enfoque emplea dos elementos fundamentales, la probabilidad de que se produzca un hecho y la probable pérdida en caso de que ocurra el hecho citado.

El enfoque cuantitativo de análisis de riesgos se centra en el uso de una sola cifra producida a partir de estos elementos. A esto se le suele denominar comúnmente el “Annual Loss Expectancy” - ALE (Esperanza de pérdida anual) o también “’Estimated Annual Cost” – EAC (Coste anual estimado). La forma de calcularlo para un evento en concreto se realiza mediante la multiplicación de la pérdida potencial por la probabilidad. Gracias a este enfoque, es teóricamente posible clasificar los acontecimientos en orden de riesgo (ALE) a fin de tomar decisiones sobre esta base.

Enfoque cualitativo de análisis de riesgos

Este es, con mucho, la metodología más utilizada para el análisis de riesgos. En este caso, la probabilidad no es necesaria y tan solo es utilizado como factor de cálculo la pérdida potencial estimada.