UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA

La Universidad Católica de Loja

MODALIDAD ABIERTA Y A DISTANCIA

DEPARTAMENTO DE INFORMATICA

AUDITORIA INFORMÁTICA

TAREA I BIMESTRE

DATOS DE IDENTIFICACIÓN
DOCENTE: Liliana Elvira Enciso Quispe

CORREO: evguano@utpl.edu.ec

TITULACIÓN: Ingeniería en Informática

Estudiante: Edwin Vladimir Guano

Abril-Agosto 2019
1. Título: “Análisis comparativo entre las metodologías de análisis de riesgos PRIMA y OCTAVE.”

2. Nombre del estudiante: Edwin Vladimir Guano Cunalata

3. Cuadro comparativo de ambas metodologías.

SIGNIFICADO OBJETIVO FASES DESCRIPCIÓN DE CADA VENTAJAS DESVENTAJAS

FASE

Amenaza Determina he identifica los En cada una de las fases de Es una metodología auto No toma en cuenta el principio
Operacionalmente Crítica riesgos de seguridad que la metodología OCTAVE dirigida que es de no repudio de la
y Metodología De presentan en la consta de varios procesos y desarrollado por los información como objetivo de
Evaluación De organización que impidan la cada uno de ellos tiene uno mismos empleados de seguridad.
Vulnerabilidad Octava. consecución de los oh más talleres que son una organización, esto
objetivos. dirigidos por el equipo de permite tener un equipo Utiliza muchos documentos
(Operationally Critical análisis. multidisciplinario. en el proceso de análisis de
Threat, Asset, and Permite optimizar el riesgo.
Vulnerability Evaluation) proceso de evaluación de En la fase permite saber: Permite el desarrollo de
riesgos de la información, estrategias y planes de Se necesita tener de
los cuales deben estar Activos. seguridad. profundos conocimientos
centrados en los objetivos y Son equipos designados por técnicos para su utilización.
Es una metodología que metas de la organización. la organización que analizan Dentro de la organización
permite recoger y y determinan cuales son los involucra procesos, No explica en forma clara la
analizar la información de Busca relacionar amenazas activos más importantes y dependencias, recursos definición y determinación de
manera que permita y vulnerabilidades. determina lo que hacen cada vulnerabilidades, los activos de información.
OCTAVE

diseñar una estrategia de Fase 1. uno de ellos para proteger amenazas y

protección y planes de Estudiar la infraestructura Vista esos activos. salvaguardias. Su uso externo: se necesita
mitigación de riesgo que de Organizacional comprar de la licencia al SEI
se basan en los riesgos información y la manera Las Amenazas. para implementar la
operacionales de como dicha infraestructura Realiza una evaluación en la Permite tener el uso metodología a un tercero.
seguridad de la se que se encuentra la interno gratuito.
organización. usa. organización y toda esa
información es recopila de Comprende todos los
los diferentes los niveles procesos de gestión y
para tener un copilado y así análisis de riesgos.
proceder a realizar un
análisis. Incluye a todo el personal
de la organización.
Determina las
vulnerabilidades de la
organización.

Determina los
requerimientos de seguridad
 necesarios para la
organización.

Fase 2. En esta fase se trata de

Vista Tecnológica realizar una evaluación de
toda la infraestructura de
información de la
organización. En donde los
componentes operacionales
son analizados para
determinar las debilidades y
las vulnerabilidades
tecnológicas.

Así también en esta fase

permite realizar el desarrollo
de componentes claves más
importantes que están
relacionados con cada uno
de los activos críticos.

El equipo de análisis realiza

la identificación de los
riesgos de los diferentes
activos críticos y toma
Fase 3. acciones para cada uno de
Estrategia y plan ellos. El equipo de análisis
de desarrollo. crea estrategias de
protección y planes de
mitigación, todo esto es
gracias a la información
recolectada.

Se desarrollan planes y
estrategias de seguridad a
través de los siguientes
procesos: identificar y
analizar los riesgos y
desarrollar estrategias,
planes de mitigación.
 SIGNIFICADO OBJETIVO FASES DESCRIPCIÓN DE CADA VENTAJAS DESVENTAJAS
FASE

Introduce el concepto de entidad Permite analizar la situación Cubrir las necesidades

de información como el objetivo a que se encuentra la del personal que No se puede realizar el
proteger en el entorno informático organización, para así estudiar desarrolla cada uno de desarrollo de
los procesos, organigramas y los proyectos necesarios componentes claves.
Prevención de Realiza unas jerarquías con la funciones. de un plan de seguridad.
riesgos informáticos información: Se basa en una
con metodología Óptica de preservación y Recopilación de estándares. - Permite de manera fácil normativa, donde se
abierta protección. permite obtener toda adaptable a cualquier debe definir todo lo que
Fase 1 información de mayor tipo de herramienta. debe existir y cumplirse
Definición de los relevancia para poder definir la de forma conceptual y
Obtiene los procedimientos de objetivos de siguiente fase de los objetivos Permite tener practico.
control que permite optimizar la control. de control a cumplir. cuestionarios de
eficiencia de los procedimientos preguntas para Usa muchos
de control para reducir los costos Permite definir los objetivos de identificar las documentos en el
de los mismos, de acuerdo a las control. debilidades o faltas de proceso de análisis de
contramedidas para las distintas controles. riesgo.
áreas con diferente nivel de
vulnerabilidad. Permite tener listas de
Se define los controles. - con ayuda para las personas
PRIMA

los objetivos claros ya definidos menos experimentadas

se analizan los procedimientos de las debilidades, Se rige en un estándar
y se definen los controles que contramedidas y específico para ser
Fase 2 se va a necesitar. riesgos, en si tiene un implementada en un
Definición de los sistema de ayuda. entorno de la
controles. organización.
Se define las necesidades Al Poseer una base de
tecnológicas de hardware y conocimiento permite
herramientas de control a que tener una capacidad
utilizar. de aprendizaje.

Se define los procedimientos de Posee de un plan de

control. - permite el desarrollo recuperación de
de diferentes procedimientos negocio, así como de un
que se generan en las plan de contingencia
diferentes áreas de usuarios, informática.
control informático y no
informático, y de informática.Permite definir y
desarrollar los
Se definen todas las procedimientos de
necesidades de recursos control informático.
humanos.
 Teniendo ya definido los
controles, herramientas y los
recursos humanos que se
necesitan en esta última fase se
procede a implementar en
forma de acciones específicas.

Fase 3 Una vez ya culminado el

Implementación de proceso de implantación de las
los controles. acciones, se procede a realizar
la documentación de los
nuevos procedimientos y se
realiza los que fueron afectados
por los cambios realizados.

Como resultado en la
implantación de las fases de
tiene como resultado:

 Se prosee procedimientos
propios de control de la
actividad informática.

 Procedimientos de áreas
informáticas, mejorados.

 Procedimientos de
distintas áreas usuarias de
la informática mejorada.
4.- CONCLUSIONES:

 La metodóloga Octave permite aplicarlo en los diferentes tipos de organizaciones sin importar el
tamaño ya sean pequeñas oh grandes por la cantidad de empleados, lo que logra es realizar un análisis
contando solo con los activos tecnológicos.
 La metodología OCTAVE es considerada muy amigable porque no se rige a un estándar específico,
sino que está abierta para ser implementada en varios entornos y en base a la visión como objetivos
corporativos.
 Al emplear la metodología OCTAVE permite identificar los riesgos y vulnerabilidades en una
organización, esto permite crear un mejor sistema de seguridad para la protección de información y
recursos, también nos permite identificar la falla que se presentan en el nivel de recurso humano de la
empresa.
 Para la realización de un análisis de riesgo y vulnerabilidades siempre se debe contar con la
participación y colaboración activa de los empleados de la organización, en especial de quienes tiene
que ver con el negocio y de quienes esta destinados a protegerla.
 La metodología PRIMA, permite realizar la clasificar la información de acuerdo a las necesidades
profesionales que son presentadas por los usuarios, que se orientan a proteger la confidencialidad e
integridad de un sistema y de sus activos, siendo considerada cualitativa, por los cuestionarios
resultados por los usuarios para determinar debilidades y fallos del sistema.

5.- RECOMENDACIÓN:

 La utilización de una metodología de análisis de riesgos la organización debe evaluar muy bien las
metodologías disponibles y escoger aquella que se ajuste a las necesidades requerida por la
organización. Se debe tener en cuenta que el análisis de riesgos se debe revisar de forma
periódicamente.
 Para la realización de una evaluación de riesgos en la seguridad de la información se debe considerar
los temas organizacionales y técnicos, los cuales permitirá examinar como los miembros de la
organización emplea la infraestructura en forma diaria.
 Es necesario conocer de las metodologías de análisis de riesgos las características, fases, ventajas y
desventajas que tiene cada una de ellas, de esta forma nos permitirá escoger la que mejor se adapte
a las necesidades y requerimientos de la organización, esto nos ayudará a tener éxito a la hora de su
implementación.

 Mantener un control y seguimiento de la metodología de análisis de riesgos que mejor se adapte a la

organización, así se podrá lograr minimizar los efectos de las amenazas existentes.
 La utilización de una metodología de análisis de riesgos la organización se debe aplicarlo de forma
continua y se debe ser realizado por los encargados del control interno de la organización, y de una
forma periódico para poder verificar y analizar la situación que se encuentra la organización.
Bibliografía

Hernandez, A. (25 de diciembre de 2012). Metodología de Administración de Riesgos PRIMA. Obtenido de

https://prezi.com/vqmf0gggva-j/metodologia-de-administracion-de-riesgos-prima/
Mario Piattini Velthuis, E. d. (2008). Auditoría de tecnologías y sistemas de información. Madrid: RA-MA
Editorial.
González, K. A. (2015). Guia Didactiva Auditoria Informática . Loja: ISBN digital.

Unknown. (11 de marzo de 2014). Temas Seguridad Informática. Obtenido de OCTAVE (Operationally Critical
Threat, Asset and Vulnerability Evaluation): http://apuntesseguridadit.blogspot.com/2014/03/octave-o-
perationally-c-ritical-t-hreat.html