MARION

MARION (M thodologi d'Analys d Risqus Informatiqus Orint par Nivaux) la

Mtodologa dl Ana lisis d Risgos Informa ticos por Nivls s ncuntra
documntado n Francia surgio n 1985, s un m todo cualitativo qu s basa n
xprincia y spranzas matma ticas; no n probabilidads hay 2 productos:
MARION AP y MARIONRsx.
MARION pos una hrraminta para valuar l nivl d sguridad xistnt dicha
hrraminta s un custionario corrlacionado con 27 factors n 6 catgoras a
rspondr.
A las rspustas s l asigna un pso, al final todas las rspustas s rfljan n una
gra fica d factors contra las difrnts solucions o contramdidas a aplicar a cada
uno d los 27 factors.
Est m todo fu impulsado n la d cada d los 80s y hasta 1998 llgo una
hrraminta sucsora: MEHARI, impulsado tambi n por l (Club d la Sguridad
Informa tica Francsa) CLUSIF. Todava xistn datos d pocas mprsas francsas qu
sigun utilizando MARION por su fctividad y qu s nigan a usar al sucsor
MEHARI, pus ambas hrramintas son dl CLUSIF. Actualmnt l CLUSIF ya no
promuv sta mtodologa y por llo s dsconoc qu tipo d custionario s l qu
s aplicaba y qu au n aplican n scrto sas pocas mprsas n Francia.
PASOS DEL MTODO PARA LA GESTIN DE RIESGOS
Prparacio n
Vulnrabilidad d auditora
Ana lisis d Risgos
Plan d Accio n

1. Preparacin: S utiliza para dfinir los objtivos d sguridad qu dbn

alcanzars, as como las a ras d accio n d la auditora y un dsglos funcional dl
Sistma d Informacio n (SI) con l fin d agilizar la ralizacio n dl studio.

2. Vulnerabilidad de auditora: Es rspondr a los custionarios. Estas rspustas

l ayudara n a idntificar los risgos y limitacions dl SI. Al final d sta auditora,
s construy una gra fica, d igual manra un diagrama qu rprsnta,
rspctivamnt, l puntaj difrnciado para cada indicador y los factors d
risgo d spcial importancia.
La forma d rosa o rosta qu s forma con cada uno d los 27 indicadors son
una manra d vr ra pidamnt las vulnrabilidads dl SI para star mjor
protgido. Cada indicador s l asigna una puntuacio n ntr 0 (insguridad) y 4
(xclnt), l valor 3 indica una sguridad corrcta (vr figura 3.10).
3. Anlisis de Riesgos
Clasifica los risgos n funcio n d su criticidad (n las class: grands risgos y
risgos individuals). S corr l dsglos funcional dl SI para un ana lisis
dtallado d las amnazas, sus impactos y su probabilidad.
La tapa d ana lisis d risgos rlva los difrnts risgos, por jmplo:
- Infundado (o improbable): La amnaza s insostnibl
- Dbil: La amnaza tin pocas probabilidads d xistir
- Moderada: La amnaza s ral
- Alta: La amnaza tin muchas probabilidads d xistir
El ana lisis d risgos s ncarga d 17 tipos d amnazas spcficas:

1. El ataqu d la rd lo gica
2. Error d ntrada
3. Error d transmisio n
4. La apropiacio n indbida d activos
5. La copia ilgal d softwar
6. La falta d prsonal
7. La falta d provdors
8. La intrrupcio n d las opracions d rd
9. Latnt dfcto d un softwar
10. Malvolncia fsica
11. Malvrsacio n
12. Norma d disn o / dsarrollo
13. Oprativos Esta ndar
14. Sabotaj Inmatrial
15. Indiscrcio n o mal uso d la informacio n
16. La falta d SI
17. Las lsions fsicas

TABLA 3.7 Amenazas especficas de MARION

4. Plan de Accin
 Propon solucions qu dbn aplicars para aumntar l valor d los 27
indicadors n l grado 3 (nivl satisfactorio d sguridad) d la auditora d la
vulnrabilidad y alcanzar los objtivos fijados n la prparacio n todo sto s logra
con l dsarrollo d un plan d accio n. El costo d la actualizacio n s valuado y
las taras por hacr para lograr sto s han programado.
El m todo dl custionario s bastant sncillo d aplicar y sta bin stablcido
dbido a su madurz. Para las mprsas auditadas s una vntaja. El m todo
MEHARI su sucsor va ma s ljos al proponr la cracio n d una poltica intgral d
sguridad.
VENTAJAS DE MARION
El ana lisis s raliza por nivls
No rquir d softwar complicado para sr implmntado
El ana lisis no s vulv tdioso dbido a sus amnazas ya idntificadas
El indicador d stado d risgo (valors dl 0 al 4) nunca prsnta valors
intrmdios: s intrprta como s insguro, s xclnt, s corrcto o s
incorrcto.
MEHARI
MEHARI (M todos Armonizados para l Ana lisis d Risgo) sta impulsado por l
CLUSIF dsd 1995, s driva d los m todos d MELISA y MARION. Actualmnt sta
n vrsio n Franc s Ingl s, s utilizado por muchas mprsas pu blicas, sctor
privado; d hcho muchos d los qu usaban MARION y MELISA sigun utiliza ndolo o
han migrado a MEHARI, porqu las 2 hrramintas ya mncionadas so lo lanzaban l
ana lisis, no proponan una solucio n concrta d sguridad y MEHARI ya lo hac. El
plantaminto gnral d MEHARI s l ana lisis d custions d sguridad (al igual
qu sus antcsors) n funcio n d trs critrios ba sicos d sguridad
(confidncialidad, intgridad y disponibilidad).
PLANES MTODO MEHARI
1. Plan Estratgico de Seguridad (PSS): Fija los objtivos d la sguridad y las
m tricas para mdirlos. Dfin la poltica d sguridad, la idntificacio n d factors d
rduccio n d risgo proporciona una bas mtodolo gica para construir un plan d
sguridad; s fundamnta n una bas d conocimintos d situacio n d risgos y n
procdimintos automatizados para la valuacio n d los factors d rduccio n d
risgo.
2. Planes Operativos de Seguridad (POS): S dsarrollan los scnarios d los
srvicios compromtidos y auditoras dl SI. Sobr la bas d sta auditora, la
valuacio n d cada risgo (probabilidad, impacto), s llva a cabo postriormnt para
xprsar las ncsidads d sguridad, y por las mismas mdidas d protccio n
rqurido. Por u ltimo, la planificacio n d la actualizacio n d sguridad d la PSI13 s
hac.
3. Plan Operativo de empresa (POE): Prv suprvisio n d la sguridad mdiant l
dsarrollo d indicadors sobr los risgos idntificados y la lccio n d scnarios d
dsastr contra l qu dbmos vitar. Habitualmnt s formula as: Han sido
idntificados todos los risgos, y son acptabls sus nivls? mdiant dos mo dulos
d sguridad: l mo dulo ra pido y l mo dulo dtallado, aunqu l mo dulo ra pido s
ncuntra au n n fas d dsarrollo, pro ya s pud utilizar.
Est m todo prmit construir una poltica d sguridad disn ada para mitigar las
vulnrabilidads idntificadas durant las auditoras d sguridad y los plans
opracionals, para alcanzar l nivl d sguridad adcuado a los objtivos dl Plan
Estrat gico para la Sguridad.
VENTAJAS DE MEHARI
Es un m todo global d valuacio n y gstio n d risgos rlacionados con la
informacio n, sus tratamintos y mdios utilizados.
La vrsio n d 2007 fu dscargada n ma s d 100 pass.
El uso dl m todo s libr y su distribucio n s raliza conform a las
disposicions dl Co digo Libr (Opn Sourc).