METODOLOGIAS DE LA SEGURIDAD INFORMATICA Integrantes: Doris Mera Liliana Arteaga Carlos Villamarin Roberth Sosa

Introduccin
La seguridad informtica es el rea de la informtica que se enfoca en la proteccin de la infraestructura computacional y todo lo relacionado con esta (incluyendo la informacin contenida).

DORIS

Metodologa

DORIS

La metodologa de la seguridad es una disciplina que permite a travs de pasos, modelos, etc. seguirlos para con su ayuda por medio de una auditoria tratando de evitar los riesgos, amenazas brindando de esta manera una manera de asegurar los entornos.

Diferentes Metodologas

DORIS

MAGERIT

NIST SP 800-30.NV
CORAS OCTAVE

Metodologa MAGERIT (Metodologa de Anlisis y Gestin de Riesgos de IT)

DORIS

Es una metodologa que se esfuerza por enfatizarse en dividir los activos de la organizacin en variados grupos, para identificar ms riesgos y poder tomar contramedidas para evitar as cualquier inconveniente.

Objetivos
Directos

DORIS

Concienciar a los responsables de los sistemas de informacin de la existencia de riesgos y de la necesidad de atajarlos a tiempo.

Ofrecer un mtodo sistemtico para analizar tales riesgos

Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control

Objetivos
Indirectos

LILIANA

Preparar a la Organizacin para procesos de evaluacin, auditora, certificacin o acreditacin, segn corresponda en cada caso..

Submodelos
Submodelo de elementos

LILIANA

Es este submodelo se clasifican 6 elementos bsicos que son: activos, amenazas, vulnerabilidades, impacto, riesgo, salvaguarda.

Submodelo de eventos
Aqu se clasifican los elementos anteriores en tres formas: dinmico fsico, dinmico organizativo y esttico.

Submodelo de procesos
Se definen en 4 etapas: anlisis de riesgo, planificacin, gestion de riesgo y seleccin de salvaguardas.

Volmenes
Volumen I - Mtodo
Es el volumen principal en el que se explica detalladamente la metodologa

LILIANA

Volumen II Catalogo de elementos

Complementa el volumen principal proporcionando diversos inventarios de utilidad en la aplicacin de la metodologa.

Volumen III Gua de tcnicas

Complementa el volumen principal proporcionando una introduccin de algunas de tcnicas a utilizar en las distintas fases del anlisis de riesgos.

LILIANA Volumen III Gua de tcnicas

LAS TECNICAS QUE RECOGEN SON:

Anlisis mediante tablas Anlisis algortmico rboles de ataque Tcnicas generales o Anlisis coste-beneficio Diagramas de flujo de datos (DFD) Diagramas de procesos Tcnicas grficas Planificacin de proyectos Sesiones de trabajo: entrevistas, reuniones y presentaciones Valoracin Delphi

Metodologa CORAS (Construct a platform for Risk Analysis of Security critical system)
Construir una plataforma para el anlisis de riesgos del sistema de seguridad crtica

ROBERTH

Desarrollado a partir de 2001 por SINTEF, un grupo de investigacin noruego financiado por organizaciones del sector pblico y privado.

Proporciona:

ROBERTH

Una metodologa de anlisis de riesgos basado en la elaboracin de modelos, que consta de siete pasos, basados fundamentalmente en entrevistas con los expertos. Un lenguaje grfico basado en UML Un editor grfico para soportar la elaboracin de los modelos, basado en Microsoft Visio. Una biblioteca de casos reutilizables. Una herramienta de gestin de casos, que permite su gestin y reutilizacin.

PASOS

ROBERTH

Presentacin: Reunin inicial, para presentar los objetivos y el alcance del anlisis y recabar informacin inicial. Anlisis de alto nivel: Entrevistas para verificar la comprensin de la informacin obtenida y la documentacin analizada. Se identifican amenazas, vulnerabilidades, escenarios e incidentes. Aprobacin: Descripcin detallada de los objetivos, alcance y consideraciones, para su aprobacin por parte del destinatario del anlisis de riesgos. Identificacin de riesgos: Identificacin detallada de amenazas, vulnerabilidades, escenarios e incidentes. Estimacin de riesgo: Estimacin de probabilidades e impactos de los incidentes identificados en el paso anterior. Evaluacin de riesgo: Emisin del informe de riesgos, para su ajuste fino y correcciones. Tratamiento del riesgo: Identificacin de las salvaguardas necesarias, y realizacin de anlisis coste/beneficio.

ROBERTH Metodologa NIST SP 800-30 (National Institute of Standards and Technology)

Esta serie incluye una metodologa para el anlisis y gestin de riesgos de seguridad de la informacin, alineada y complementaria con el resto de documentos de la serie.

VILLA

P R O C E S O D E

G E S T I O N

9 pasos bsicos para el anlisis de riesgo:

Caracterizacin del sistema. Identificacin de amenazas. Identificacin de vulnerabilidades. Control de anlisis. Determinacin del riesgo. Anlisis de impacto. Determinacin del riesgo. Recomendaciones de control. Resultado de la implementacin o documentacin.

VILLA

VILLA

Metodologa OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation)

Es un mtodo de evaluacin y de gestin de los riesgos para garantizar la seguridad del sistema informativo, desarrollado por el estndar internacional ISO270001.

OBJETIVOS

VILLA

Desmitificar la falsa creencia: La Seguridad Informtica es un asunto meramente tcnico

Presentar los principios bsicos y la estructura de las mejores prcticas internacionales que guan los asuntos no tcnicos.

VILLA

FASES