Technical note
Technical note
Eterovic, Jorge Esteban ⓘ
Universidad Nacional de La Matanza.
Departamento de Ingeniería e Investigaciones Tecnológicas.
San Justo, Buenos Aires. Argentina
En éste trabajo se presenta una metodología de rápida aplicación que implementa los pasos necesarios para analizar un sistema, identificar las amenazas, las vulnerabilidades asociadas, calcular la probabilidad de ocurrencia de esas amenazas, determinar del impacto en caso de su materialización y por ultimo la obtención del riesgo al que se está expuesto. Así, esta metodología sería una herramienta de fácil implementación en una organización mediana ó pequeña que le permitiría identificar y gestionar los riesgos de tecnología de la información. El análisis de riesgos es el primer punto de la gestión de la seguridad de la información de una organización, y es necesario para realizar la gestión de los riesgos, es decir, tomar la decisión de eliminarlos, ignorarlos, transferirlos o mitigarlos y controlarlos, es decir realizar la gestión de riesgos.
Metodología de análisis de riesgos, Análisis de riesgos en tecnología de la informació, Gestión de riesgos ⓘ
El proceso para desarrollar la nueva metodología comenzó con la investigación y el estudio pormenorizado de las principales metodologías existentes en el mercado para al análisis de los riesgos informáticos.
En éste trabajo se presenta el análisis de las tres metodologías mas usadas, con el fin de determinar en forma detallada sobre como es su funcionamiento y cuáles son sus fortalezas y debilidades. Las metodologías estudiadas son Magerit, Octave y Mehari.
Como resultado de este análisis se identificaron e incorporaron esas fortalezas en el diseño de la nueva metodología de análisis de riesgos informáticos en cuestión. Los límites en el alcance de este trabajo fueron no haber incorporado elementos de otras metodologías existentes, fuera de las que no se mencionaron anteriormente.
Esto nos permitió obtener los mejores elementos de cada una de estas metodologías a fin de diseñar y obtener una nueva a partir de ellos.
Tanto las tres metodologías estudiadas como la que se desarrollará tienen por objetivo los siguientes puntos:
Existe una serie de diferentes enfoques para realizar el análisis de riesgos pero, en esencia, suelen dividirse en dos tipos fundamentales:
El enfoque utilizado para el desarrollo de esta metodología es el cuantitativo.
Este enfoque emplea dos elementos fundamentales, la probabilidad de que se produzca un evento y el impacto que ocasionaría la probable pérdida en caso de que ocurra el citado evento.
El enfoque cuantitativo de análisis de riesgos consiste en la obtención de un valor a partir del producto de estos elementos. La forma de calcularlo, para un evento dado, es realizando la multiplicación del valor de la pérdida potencial por el valor de la probabilidad de ocurrencia. De esta manera es prácticamente concreto y posible valorar los eventos y calcular el riesgo a fin de tomar las decisiones correspondientes.
Son numerosas las organizaciones que han adoptado y aplicado con éxito el análisis de riesgo cuantitativo. De hecho se recomienda fuertemente comenzar con un análisis de riesgo cuantitativo y luego, si el negocio lo amerita, hacer un análisis cualitativo.
Para el diseño y desarrollo de la nueva metodología de análisis de riesgos informáticos se partió de una metodología base, de la cual se procede a continuación a dar una breve descripción de cada una de sus etapas:
Se realizó un estudio detallado de cada uno de los elementos funcionales que intervienen en cada etapa de la metodología a fin de determinar los puntos débiles que la misma presenta. En síntesis se obtuvo como resultado lo siguiente:
Magerit
- Análisis de Riesgos
- Gestión de Riesgos
Octave
- Construcción de los Perfiles de Amenazas Basados en Activos
- Identificación de la Infraestructura de Vulnerabilidades
- Desarrollo de Planes y Estrategias de Seguridad
Mehari
- Diagnóstico de Seguridad
- Análisis de los Intereses Implicados por la Seguridad
- Análisis de Riesgos
Del análisis de cada una de ellas se identificó como elementos funcionales importantes a incorporar en la metodología básica los siguientes:
En este punto de desarrollo, se procedió a rediseñar la metodología base modificando e incorporando nuevos elementos y valores que nos proporcionen una metodología nueva y consistente y que a su vez nos permita aplicarla a la realidad organizacional en cuanto a riesgos informáticos se trate.
El procedimiento se llevó a cabo a través de unificar etapas de la metodología básica con similitudes y características propias de cada una de ellas, logrando obtener como resultado cuatros fases y con procedimientos implementados en cada uno de ellos.
A continuación se detalla una breve descripción de cómo se abordó el diseño de estas cuatro fases mencionadas:
| a) Caracterización del sistema | etapas de la metodología base |
| c) Identificación de vulnerabilidades | |
| d) Análisis de controles |
De las etapas anteriores se obtiene la Fase I de la siguiente manera:
Esta fase contempla 2 procesos:
Continuando de igual manera con otras dos etapas de la metodología base, tenemos:
| b) Identificación de amenazas | Etapas de la metodología base |
| e) Determinación de la probabilidad de ocurrencia |
De las etapas anteriores se obtiene la Fase II de la siguiente manera:
Esta fase contempla 2 procesos:
Seguimos con otras dos etapas de la metodología base:
| f) Análisis del impacto | Etapas de la metodología base |
| g) Determinación del Riesgo |
De las etapas anteriores se obtiene la Fase III de la siguiente manera:
Esta fase contempla 2 procesos:
Finalmente tomamos las dos últimas etapas de la metodología base:
| h) Recomendaciones de Control | Etapas de la metodología base |
| i) Documentación de resultados |
De las etapas anteriores se obtiene la Fase IV de la siguiente manera:
Esta fase contempla 3 procesos:
De esta manera hemos logrado implementar un procedimiento que evalúe las distintas situaciones de riesgos. La nueva metodología permitirá analizar y administrar riesgos en los siguientes niveles:
Es así que pasamos a tener en un esquema mas concentrado de solo 5 etapas tomando las mejores combinaciones de los elementos que manejan las tres metodologías mas difundidas de la administración de los riesgos informáticos.
Se ha verificado en distintos escenarios de estudio que esta simplificación favorece la implementación de la misma en las organizaciones y permite lograr un cambio de paradigma en la toma de decisiones cuando se deben gestionar los riesgos.
Mehari 2010, Club de la Securite de línformation Français – CLUSIF, Francia. 🔍
Article
Metodología de Análisis de Riesgos Informáticos
Publisher:
Journal: Técnica Administrativa
Volume: 10 , Number: 1, Order: 3 ; ISSUE: 45
Date of publisher: 2011-01-15
URL: www.cyta.com.ar/ta/article.php?id=100103
License: Atribución 4.0 - Internacional (CC BY 4.0)
© Ciencia y Técnica Administrativa
Registro ISSN: 1666-1680
Primera instancia: Curación académica realizada por CyTA, según criterios de integridad científica, semántica y estructura académica (disponible a partir de 2024/07).
Segunda instancia: Curación asistida por inteligencia artificial (ChatGPT, desarrollada por OpenAI), mediante prompts especializados diseñados por CyTA (disponible a partir de 2001/09).
Este protocolo implementa un modelo de revisión abierta, responsable y trazable, centrado en la formación, la transparencia y la accesibilidad del conocimiento.
✨ Curation Assistant, GenAI contributed by: ChatGPT, Copilot, Gemini, Et al. »
Triples of the Data Model Semantic RDF »
To send article, send it to the email: editorialcyta@gmail.com or cyta@cyta.ar
Identify it, in the subject field, with the word: Article
In the body of the email, indicate the following information for each of the authors, name to be quoted, filiation, and email.
Técnica Administrativa se encuentra indexada en los siguientes directorios de publicaciones científicas: Scholar Google, DIALNET, ZDB, LATINDEX, WorldCat, Crossref, REBIUN, PURL, Ágora, Miar, BINPAR, entre otros.