vit0y4
03-08-2010, 09:23 AM
Comparación entre las diferentes metodologías de gestion de riesgos existentes...
Como bien me decía una profe de la universidad (oh! que tiempo aquellos), "si ya está hecho, ¿para qué volver a hacerlo?", pues bien eso pensé mientras buscaba información sobre las distintas metodologías de gestión de riesgos mas usadas, me encontré con el siguiente articulo, cortito pero bien hecho que da ciertas orientaciones para nosotros que no iniciamos en este mundo...es mas o menos lo que quería, así que decidí compartirlo con ustedes:
Autor: Manuel Díaz
Áudea Seguridad de la Información
Abogados LOPD ? Seguridad de la Información ? Protección de Datos ? Áudea (http://www.audea.com)
Como es ya de sobra conocido por todos los que trabajamos en el ámbito de la seguridad de la información, la piedra angular de todo SGSI (Sistema de Gestión de Seguridad de la Información) es la realización del pertinente análisis de los riesgos asociados a nuestros activos de información.
La importancia del Análisis de Riesgos deriva de que es la herramienta que nos va a permitir identificar las amenazas a las que se encuentran expuestos dichos activos, estimar la frecuencia de materialización de tales amenazas y valorar el impacto que supondría en nuestra Organización esa materialización.
En el campo del Análisis de Riesgos, en España tenemos un referente indiscutible cuando nos planteamos la metodología a seguir. Si, ese referente es MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Actualmente por la versión 2.0, goza de una excelente salud y está reconocida por ENISA (European Network and Information Security Agency) junto a otras metodologías europeas e internacionales. Es una metodología de carácter público elaborada por el Consejo Superior de Administración Electrónica (CSAE), órgano del Ministerio de Administraciones Públicas (MAP) encargado de la preparación, elaboración, desarrollo y aplicación de la política informática del Gobierno Español.
Si hasta ahora este reinado de MAGERIT ha sido indiscutible -con la interesante excepción de aquellos profesionales que han decidido elaborar sus “propias” metodologías por considerar que se adaptaban mejor a sus organizaciones- desde hace relativamente poco tiempo disponemos de un competidor de peso. Este nuevo actor en la escena del Análisis de Riesgos es, como ya muchos se habrán imaginado, el estándar internacional ISO/IEC 27005:2008, titulado Information technology – Security techniques – Information security risk management.
ISO 27005 “derogó” las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000, y proporciona desde su publicación en Junio del pasado año 2008, un conjunto de directrices para la correcta realización de un Análisis de Riesgos.
Señalar, no obstante, que ISO 27005 no proporciona una metodología concreta de Análisis de Riesgos, sino que describe a través de su clausulado el proceso recomendado de análisis incluyendo las fases que lo conforman:
• Establecimiento del contexto (Cláusula 7)
• Evaluación del riesgo (Cláusula 8 )
• Tratamiento del riesgo (Cláusula 9)
• Aceptación del riesgo (Cláusula 10)
• Comunicación del riesgo (Cláusula 11)
• Monitorización y revisión del riesgo (Cláusula 12)
En pocas palabras, la norma nos sirve para no tener dudas sobre los elementos que debe incluir toda buena metodología de Análisis de Riesgos, por lo que, visto desde este punto de vista puede constituirse como una metodología en si misma.
Además, el estándar incluye seis Anexos (A-F) de carácter informativo y no normativo, con orientaciones que van desde la identificación de activos e impactos, ejemplos de vulnerabilidades y sus amenazas asociadas, hasta distintas aproximaciones para el análisis distinguiendo entre análisis de riesgos de alto nivel y análisis detallado.
Pero ¿con que argumentos cuenta ISO 27005 frente a MAGERIT u otras metodologías existentes? Pues la verdad es que existe una división palpable en el sector, incluso a nivel europeo (en este caso, lógicamente, comparando el estándar ISO frente a las metodologías propias de cada país).
Por una parte, están aquellos que han acogido al nuevo estándar con gran entusiasmo, entendiendo que supone la oficialización a nivel internacional de los requisitos que ha de cumplir una metodología de Análisis de Riesgos, y que por tanto aporta claridad a un ámbito que seguramente estaba necesitándola. Esta postura es frecuente entre quienes se dedican a la implantación de Sistemas de Gestión bajo ISO 27001 –la referencia absoluta en gestión de la seguridad–, ya que ISO 27005 ha nacido claramente para apoyar la tarea del análisis y la gestión de riesgos en el marco de un SGSI.
En el lado contrario encontramos a quienes no terminan de ver la aportación de este estándar para los profesionales del análisis de riesgos, habida cuenta las numerosas metodologías existentes. Desde estas posiciones, más puristas de la gestión de riesgos, la crítica se centra en señalar que el nuevo estándar no se adentra realmente en la gestión de los mismos, sino que se queda en un mero marco declarativo de determinados riesgos, y que dicho marco se enlaza con un ciclo PDCA (Plan, Do, Check, Act) con el fin de revisar dichos riesgos.
Los críticos con ISO 27005 añaden otro aspecto que no termina de convencerles, y es precisamente esa subordinación –para ellos sin duda excesiva– del estándar hacia el SGSI. Consideran que no es admisible la declaración que se hace en la subcláusula 7.1 de la norma, que cita como finalidades del Análisis de Riesgos, entre otras, el apoyo a un SGSI. Esta declaración es puesta en entredicho argumentando que en realidad la implementación de un SGSI es consecuencia de un análisis de riesgos previo, y no al revés. No parece desenfocada en absoluto esta última opinión, ya que precisamente el SGSI tiene como finalidad, y valga en este caso la redundancia, gestionar la Seguridad de la Información siempre desde el punto de partida que supone el Análisis de Riesgos.
Al margen de controversias, que no tienen por qué ser estériles, lo cierto es que desde hace poco más de un año los profesionales que nos dedicamos a la Seguridad de la Información disponemos de un nuevo apoyo para esa difícil y crucial tarea que es el Análisis y la Gestión de Riesgos de los activos de información en las organizaciones. Tarea que, hay que decirlo, necesita de cuantas más aportaciones, mejor.
Entre esas aportaciones cabe destacar por parte española la publicación un mes después de que lo hiciera ISO 27005, de una –en este caso si- metodología de Análisis de Riesgos bajo la forma de norma UNE. Nos referimos, claro está, a la UNE 71504, de la que sin duda será interesante hablar en otra ocasión y compararla con ese referente indiscutible en España que es MAGERIT.
Publicado en: Protección de datos | DelitosInformaticos.com información legal de internet (http://www.delitosinformaticos.com/10/2009/proteccion-de-datos/analisis-de-riesgos-iso-27005-vs-magerit-y-otras-metodologias/)
Lo dicho, ISO 27001 unicamente nos habla de que es necesario realizar un analisis de riesgos previo a la implementacion del Sistema de Gestion de Seguridad de la informacion.
ISO 27005 que planteaba ser un alivio en este tema de la gestion de riesgos unicamente plantea puntos que no pueden faltar dentro de un analisis de riesgos sin dar mayores datos en si para la elaboración del mismo.
Hablemos un poco de MAGERIT, esta metodología nos ofrece:
* Dos opciones para hacer el analisis, Cualitativa o cuantitativa.
* Analisis de Tipos de activos comunes
* Analisis de Amenazas comunes segun tipos de activos
* Analisis de Salvaguardas segun tipos de amenazas
* Separación entre el analisis de riesgos y la gestion de los mismos
La norma UNE 71504, es poco conocida pero si es muy utilizada por su claridad y porque al igual que MAGERIT fue desarrollada en español lo cual elimina las inexactitudes y ambigüedades de una traducción, ademas tambien separa el Analisis, la evaluación y el tratamiento de los riesgos, son tan similares que según los expertos en el tema MAGERIT cumple con los requisitos de la UNE 71504, ya que contiene:
* Catálogo de activos.
* Dependencia entre activos.
* Catálogo de amenazas.
* valoración de activos, degradación y frecuencia.
* Cálculo de impactos.
* Cálculo de Riesgos.
Tanto para MAGERIT como para UNE 71504 se han desarrollado softwares para efectuar estos analisis y calculos de manera mas rapida, sencilla y sin errores, el unico problema es que dichos software son privativos y sus licencias tienen algun costo que en algunos casos no es muy elevado, es importante que la empresa considere la posibilidad de adquirir alguno de estos softwares ya que estos permiten una actualización permanente del los calculos y pueden usarse durante muchisimo tiempo, los mas conocidos son PILAR, AGM-RISK y OCTAVE.
Existen como ya les habia dicho mas metodologias como:
CRAMM: CCTA Risk Analysis and Management Method by the Central Computing and Telecommunications Agency (CCTA) of the United Kingdom government.
OCTAVE: (Operationally Critical Threat, Asset, and Vulnerability Evaluation). Metodología de evaluación de riesgos desarrollada por el Software Engineering Institute (SEI) de la Carnegie Mellon University. OCTAVE-S es la versión para pequeñas empresas (menos de 100 empleados). OCTAVE® Information Security Risk Evaluation (http://www.cert.org/octave)
Existen mas... Acá links de herramientas para gestion de riesgos y metodologias:
www.enisa.europa.eu/rmra/rm_home.html
Inventario de metodologías y herramientas de análisis y gestión de riesgos de ENISA (European Network and Information Security Agency). Incluye sistema de comparativas.
Risk Management — ENISA (http://www.enisa.europa.eu/rmra/)...
Guía de evaluación y gestión del riesgo para Pymes.
MAGERIT – versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (http://www.csi.map.es/csi/pg5m20.htm)
MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), promovida por el Ministerio de Administraciones Públicas de España.
EAR - Herramientas para el Análisis de Riesgos (http://www.ar-tools.com)
EAR/Pilar (Entorno de análisis de riesgos). Herramienta en español, basada en Magerit, no gratuita. Existe una versión Basic para Pymes.
Sigea - Seguridad de la Informacion - Inicio (http://www.sigea.es)
GxSGSI. Software de análisis de riesgos, en español, de la empresa SIGEA.
ISO - ISO Standards (http://www.iso.org/iso/iso_catalogue/)...
ISO/IEC 27005 es el estándar ISO de la serie 27000 dedicado a la gestión de riesgos de seguridad de la información.
www.bsigroup.com/en/Shop/...
BS 7799-3:2006 es el estándar británico de gestión del riesgo de la seguridad de la información de British Standards Institution.
csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
"Risk management guide for information technology systems". Publicada por NIST (National Institute of Standards and Technology) de EEUU.
International Standards and Technical Resource Infostore (http://www.saiglobal.com/shop/script/)...
AS/NZS 4360:2004 es el estándar australiano de gestión de riesgos de la seguridad de la información.
www.ssi.gouv.fr/es/confianza/ebiospresentation.html
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité). Metodología de gestión de los riesgos de seguridad de sistemas de información desarrollada por la " Direction Centrale de la Sécurité des Systèmes d’Information" francesa. Disponible en español. Está acompañada por un software multilingüe -francés, inglés, alemán, español- gratuito para varias plataformas -Windows, Linux, Solaris-.
www.bsi.de/english/...
Estándar de análisis de riesgos del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania. GSTOOL es la correspondiente herramienta.
CLUSIF | Documents | METHODES (http://www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=METHODES)
MEHARI (Méthode Harmonisée d'Analyse de Risques). Método de análisis y gestión del riesgo desarrollado por el Clusif ( Club de la Sécurité des Systèmes d’Information Français).
www.riskwatch.com/ISRiskWatchProduct.html
RiskWatch es un software no gratuito de realización de análisis de riesgos.
www.securityforum.org
IRAM (Information Risk Analysis Methodologies) es una metodología de análisis de riesgos del Information Security Forum sólo disponible para sus miembros.
www.securityforum.org
FIRM (Fundamental Information Risk Management) es una metodología de gestión de riesgos del Information Security Forum.
Citicus ONE capabilities (http://www.citicus.com/oursoftware_softwarecapabilities.asp)
Citicus ONE es un software comercial (disponible en varios idiomas, pero no en español) de gestión de riesgos de seguridad de la información, basado en la metodología FIRM.
Harmonized TRA Methodology (http://www.rcmp-grc.gc.ca/ts-st/pubs/tra-emr/index-eng.htm)
Guía en inglés de evaluación de riesgos de la Policía de Canadá. También versión en francés.
www.riskmanagementinsight.com/media/docs/FAIR_introduction.pdf
Introducción a la metodología FAIR (Factor Analysis of Information Risk).
The Institute of Risk Management (http://www.theirm.org/)...
Estándar de gestión del riesgo de IRM, AIRMIC y ALARM (en español).
technet.microsoft.com/en-us/library/cc163143.aspx
Security Risk Management Guide de Microsoft.
@RISK para el análisis de riesgo utilizando simulación de Monte Carlo en Excel - Palisade (http://www.palisade-lta.com/risk)
@RISK, de Palisade, es un software general de análisis de riesgos basado en la simulación de Monte Carlo. Existe versión en español y tiene coste.
COBRA - Security Risk Assessment, Security Risk Analysis and ISO 17799 / BS7799 (http://www.riskworld.net)
COBRA (Consultative, Objective and Bi-functional Risk Analysis). Software -no gratuito- de evaluación del riesgo de "C&A Systems Security Ltd.".
www.aexis.de/RA2ToolPage.htm
RA2 - Art of Risk. Software de análisis de riesgos y soporte de SGSI. No es gratuito.
www.njcu.edu/assoc/njcuitma/documents/addendums/...
Ejemplo de análisis de impacto en el negocio realizado por Gartner.
www.sans.org/reading_room/whitepapers/auditing/1664.php
Whitepaper de SANS de alineación de gestión de riesgos con BS7799-3.
www.sans.org/reading_room/whitepapers/auditing/1204.php
Whitepaper de SANS sobre gestión del riesgo.
metal.hacktimes.com/files/Analisis-y-Modelado-de-Amenazas.pdf
Introducción al análisis y modelado de amenazas.
www.asisonline.org/guidelines/guidelinesgsra.pdf
Guía de evaluación de riesgos de seguridad de ASIS.
FDIC: FIL-114-2004: Risk Management of Free and Open Source Software (http://www.fdic.gov/news/news/financial/2004/FIL11404a.html)
Directrices para la gestión del riesgo por uso de aplicaciones de software libre.
Hasta acá la lista, quizas existen mas, así que si conoces otra metodologia o herramienta para la gestion de riesgos en seguridad informatica te invitamos a que hagas tu aporte :)
En la proxima y ultima parte: Gestión o tratamiento de Riesgos.
Como bien me decía una profe de la universidad (oh! que tiempo aquellos), "si ya está hecho, ¿para qué volver a hacerlo?", pues bien eso pensé mientras buscaba información sobre las distintas metodologías de gestión de riesgos mas usadas, me encontré con el siguiente articulo, cortito pero bien hecho que da ciertas orientaciones para nosotros que no iniciamos en este mundo...es mas o menos lo que quería, así que decidí compartirlo con ustedes:
Autor: Manuel Díaz
Áudea Seguridad de la Información
Abogados LOPD ? Seguridad de la Información ? Protección de Datos ? Áudea (http://www.audea.com)
Como es ya de sobra conocido por todos los que trabajamos en el ámbito de la seguridad de la información, la piedra angular de todo SGSI (Sistema de Gestión de Seguridad de la Información) es la realización del pertinente análisis de los riesgos asociados a nuestros activos de información.
La importancia del Análisis de Riesgos deriva de que es la herramienta que nos va a permitir identificar las amenazas a las que se encuentran expuestos dichos activos, estimar la frecuencia de materialización de tales amenazas y valorar el impacto que supondría en nuestra Organización esa materialización.
En el campo del Análisis de Riesgos, en España tenemos un referente indiscutible cuando nos planteamos la metodología a seguir. Si, ese referente es MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Actualmente por la versión 2.0, goza de una excelente salud y está reconocida por ENISA (European Network and Information Security Agency) junto a otras metodologías europeas e internacionales. Es una metodología de carácter público elaborada por el Consejo Superior de Administración Electrónica (CSAE), órgano del Ministerio de Administraciones Públicas (MAP) encargado de la preparación, elaboración, desarrollo y aplicación de la política informática del Gobierno Español.
Si hasta ahora este reinado de MAGERIT ha sido indiscutible -con la interesante excepción de aquellos profesionales que han decidido elaborar sus “propias” metodologías por considerar que se adaptaban mejor a sus organizaciones- desde hace relativamente poco tiempo disponemos de un competidor de peso. Este nuevo actor en la escena del Análisis de Riesgos es, como ya muchos se habrán imaginado, el estándar internacional ISO/IEC 27005:2008, titulado Information technology – Security techniques – Information security risk management.
ISO 27005 “derogó” las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000, y proporciona desde su publicación en Junio del pasado año 2008, un conjunto de directrices para la correcta realización de un Análisis de Riesgos.
Señalar, no obstante, que ISO 27005 no proporciona una metodología concreta de Análisis de Riesgos, sino que describe a través de su clausulado el proceso recomendado de análisis incluyendo las fases que lo conforman:
• Establecimiento del contexto (Cláusula 7)
• Evaluación del riesgo (Cláusula 8 )
• Tratamiento del riesgo (Cláusula 9)
• Aceptación del riesgo (Cláusula 10)
• Comunicación del riesgo (Cláusula 11)
• Monitorización y revisión del riesgo (Cláusula 12)
En pocas palabras, la norma nos sirve para no tener dudas sobre los elementos que debe incluir toda buena metodología de Análisis de Riesgos, por lo que, visto desde este punto de vista puede constituirse como una metodología en si misma.
Además, el estándar incluye seis Anexos (A-F) de carácter informativo y no normativo, con orientaciones que van desde la identificación de activos e impactos, ejemplos de vulnerabilidades y sus amenazas asociadas, hasta distintas aproximaciones para el análisis distinguiendo entre análisis de riesgos de alto nivel y análisis detallado.
Pero ¿con que argumentos cuenta ISO 27005 frente a MAGERIT u otras metodologías existentes? Pues la verdad es que existe una división palpable en el sector, incluso a nivel europeo (en este caso, lógicamente, comparando el estándar ISO frente a las metodologías propias de cada país).
Por una parte, están aquellos que han acogido al nuevo estándar con gran entusiasmo, entendiendo que supone la oficialización a nivel internacional de los requisitos que ha de cumplir una metodología de Análisis de Riesgos, y que por tanto aporta claridad a un ámbito que seguramente estaba necesitándola. Esta postura es frecuente entre quienes se dedican a la implantación de Sistemas de Gestión bajo ISO 27001 –la referencia absoluta en gestión de la seguridad–, ya que ISO 27005 ha nacido claramente para apoyar la tarea del análisis y la gestión de riesgos en el marco de un SGSI.
En el lado contrario encontramos a quienes no terminan de ver la aportación de este estándar para los profesionales del análisis de riesgos, habida cuenta las numerosas metodologías existentes. Desde estas posiciones, más puristas de la gestión de riesgos, la crítica se centra en señalar que el nuevo estándar no se adentra realmente en la gestión de los mismos, sino que se queda en un mero marco declarativo de determinados riesgos, y que dicho marco se enlaza con un ciclo PDCA (Plan, Do, Check, Act) con el fin de revisar dichos riesgos.
Los críticos con ISO 27005 añaden otro aspecto que no termina de convencerles, y es precisamente esa subordinación –para ellos sin duda excesiva– del estándar hacia el SGSI. Consideran que no es admisible la declaración que se hace en la subcláusula 7.1 de la norma, que cita como finalidades del Análisis de Riesgos, entre otras, el apoyo a un SGSI. Esta declaración es puesta en entredicho argumentando que en realidad la implementación de un SGSI es consecuencia de un análisis de riesgos previo, y no al revés. No parece desenfocada en absoluto esta última opinión, ya que precisamente el SGSI tiene como finalidad, y valga en este caso la redundancia, gestionar la Seguridad de la Información siempre desde el punto de partida que supone el Análisis de Riesgos.
Al margen de controversias, que no tienen por qué ser estériles, lo cierto es que desde hace poco más de un año los profesionales que nos dedicamos a la Seguridad de la Información disponemos de un nuevo apoyo para esa difícil y crucial tarea que es el Análisis y la Gestión de Riesgos de los activos de información en las organizaciones. Tarea que, hay que decirlo, necesita de cuantas más aportaciones, mejor.
Entre esas aportaciones cabe destacar por parte española la publicación un mes después de que lo hiciera ISO 27005, de una –en este caso si- metodología de Análisis de Riesgos bajo la forma de norma UNE. Nos referimos, claro está, a la UNE 71504, de la que sin duda será interesante hablar en otra ocasión y compararla con ese referente indiscutible en España que es MAGERIT.
Publicado en: Protección de datos | DelitosInformaticos.com información legal de internet (http://www.delitosinformaticos.com/10/2009/proteccion-de-datos/analisis-de-riesgos-iso-27005-vs-magerit-y-otras-metodologias/)
Lo dicho, ISO 27001 unicamente nos habla de que es necesario realizar un analisis de riesgos previo a la implementacion del Sistema de Gestion de Seguridad de la informacion.
ISO 27005 que planteaba ser un alivio en este tema de la gestion de riesgos unicamente plantea puntos que no pueden faltar dentro de un analisis de riesgos sin dar mayores datos en si para la elaboración del mismo.
Hablemos un poco de MAGERIT, esta metodología nos ofrece:
* Dos opciones para hacer el analisis, Cualitativa o cuantitativa.
* Analisis de Tipos de activos comunes
* Analisis de Amenazas comunes segun tipos de activos
* Analisis de Salvaguardas segun tipos de amenazas
* Separación entre el analisis de riesgos y la gestion de los mismos
La norma UNE 71504, es poco conocida pero si es muy utilizada por su claridad y porque al igual que MAGERIT fue desarrollada en español lo cual elimina las inexactitudes y ambigüedades de una traducción, ademas tambien separa el Analisis, la evaluación y el tratamiento de los riesgos, son tan similares que según los expertos en el tema MAGERIT cumple con los requisitos de la UNE 71504, ya que contiene:
* Catálogo de activos.
* Dependencia entre activos.
* Catálogo de amenazas.
* valoración de activos, degradación y frecuencia.
* Cálculo de impactos.
* Cálculo de Riesgos.
Tanto para MAGERIT como para UNE 71504 se han desarrollado softwares para efectuar estos analisis y calculos de manera mas rapida, sencilla y sin errores, el unico problema es que dichos software son privativos y sus licencias tienen algun costo que en algunos casos no es muy elevado, es importante que la empresa considere la posibilidad de adquirir alguno de estos softwares ya que estos permiten una actualización permanente del los calculos y pueden usarse durante muchisimo tiempo, los mas conocidos son PILAR, AGM-RISK y OCTAVE.
Existen como ya les habia dicho mas metodologias como:
CRAMM: CCTA Risk Analysis and Management Method by the Central Computing and Telecommunications Agency (CCTA) of the United Kingdom government.
OCTAVE: (Operationally Critical Threat, Asset, and Vulnerability Evaluation). Metodología de evaluación de riesgos desarrollada por el Software Engineering Institute (SEI) de la Carnegie Mellon University. OCTAVE-S es la versión para pequeñas empresas (menos de 100 empleados). OCTAVE® Information Security Risk Evaluation (http://www.cert.org/octave)
Existen mas... Acá links de herramientas para gestion de riesgos y metodologias:
www.enisa.europa.eu/rmra/rm_home.html
Inventario de metodologías y herramientas de análisis y gestión de riesgos de ENISA (European Network and Information Security Agency). Incluye sistema de comparativas.
Risk Management — ENISA (http://www.enisa.europa.eu/rmra/)...
Guía de evaluación y gestión del riesgo para Pymes.
MAGERIT – versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (http://www.csi.map.es/csi/pg5m20.htm)
MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), promovida por el Ministerio de Administraciones Públicas de España.
EAR - Herramientas para el Análisis de Riesgos (http://www.ar-tools.com)
EAR/Pilar (Entorno de análisis de riesgos). Herramienta en español, basada en Magerit, no gratuita. Existe una versión Basic para Pymes.
Sigea - Seguridad de la Informacion - Inicio (http://www.sigea.es)
GxSGSI. Software de análisis de riesgos, en español, de la empresa SIGEA.
ISO - ISO Standards (http://www.iso.org/iso/iso_catalogue/)...
ISO/IEC 27005 es el estándar ISO de la serie 27000 dedicado a la gestión de riesgos de seguridad de la información.
www.bsigroup.com/en/Shop/...
BS 7799-3:2006 es el estándar británico de gestión del riesgo de la seguridad de la información de British Standards Institution.
csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
"Risk management guide for information technology systems". Publicada por NIST (National Institute of Standards and Technology) de EEUU.
International Standards and Technical Resource Infostore (http://www.saiglobal.com/shop/script/)...
AS/NZS 4360:2004 es el estándar australiano de gestión de riesgos de la seguridad de la información.
www.ssi.gouv.fr/es/confianza/ebiospresentation.html
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité). Metodología de gestión de los riesgos de seguridad de sistemas de información desarrollada por la " Direction Centrale de la Sécurité des Systèmes d’Information" francesa. Disponible en español. Está acompañada por un software multilingüe -francés, inglés, alemán, español- gratuito para varias plataformas -Windows, Linux, Solaris-.
www.bsi.de/english/...
Estándar de análisis de riesgos del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania. GSTOOL es la correspondiente herramienta.
CLUSIF | Documents | METHODES (http://www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=METHODES)
MEHARI (Méthode Harmonisée d'Analyse de Risques). Método de análisis y gestión del riesgo desarrollado por el Clusif ( Club de la Sécurité des Systèmes d’Information Français).
www.riskwatch.com/ISRiskWatchProduct.html
RiskWatch es un software no gratuito de realización de análisis de riesgos.
www.securityforum.org
IRAM (Information Risk Analysis Methodologies) es una metodología de análisis de riesgos del Information Security Forum sólo disponible para sus miembros.
www.securityforum.org
FIRM (Fundamental Information Risk Management) es una metodología de gestión de riesgos del Information Security Forum.
Citicus ONE capabilities (http://www.citicus.com/oursoftware_softwarecapabilities.asp)
Citicus ONE es un software comercial (disponible en varios idiomas, pero no en español) de gestión de riesgos de seguridad de la información, basado en la metodología FIRM.
Harmonized TRA Methodology (http://www.rcmp-grc.gc.ca/ts-st/pubs/tra-emr/index-eng.htm)
Guía en inglés de evaluación de riesgos de la Policía de Canadá. También versión en francés.
www.riskmanagementinsight.com/media/docs/FAIR_introduction.pdf
Introducción a la metodología FAIR (Factor Analysis of Information Risk).
The Institute of Risk Management (http://www.theirm.org/)...
Estándar de gestión del riesgo de IRM, AIRMIC y ALARM (en español).
technet.microsoft.com/en-us/library/cc163143.aspx
Security Risk Management Guide de Microsoft.
@RISK para el análisis de riesgo utilizando simulación de Monte Carlo en Excel - Palisade (http://www.palisade-lta.com/risk)
@RISK, de Palisade, es un software general de análisis de riesgos basado en la simulación de Monte Carlo. Existe versión en español y tiene coste.
COBRA - Security Risk Assessment, Security Risk Analysis and ISO 17799 / BS7799 (http://www.riskworld.net)
COBRA (Consultative, Objective and Bi-functional Risk Analysis). Software -no gratuito- de evaluación del riesgo de "C&A Systems Security Ltd.".
www.aexis.de/RA2ToolPage.htm
RA2 - Art of Risk. Software de análisis de riesgos y soporte de SGSI. No es gratuito.
www.njcu.edu/assoc/njcuitma/documents/addendums/...
Ejemplo de análisis de impacto en el negocio realizado por Gartner.
www.sans.org/reading_room/whitepapers/auditing/1664.php
Whitepaper de SANS de alineación de gestión de riesgos con BS7799-3.
www.sans.org/reading_room/whitepapers/auditing/1204.php
Whitepaper de SANS sobre gestión del riesgo.
metal.hacktimes.com/files/Analisis-y-Modelado-de-Amenazas.pdf
Introducción al análisis y modelado de amenazas.
www.asisonline.org/guidelines/guidelinesgsra.pdf
Guía de evaluación de riesgos de seguridad de ASIS.
FDIC: FIL-114-2004: Risk Management of Free and Open Source Software (http://www.fdic.gov/news/news/financial/2004/FIL11404a.html)
Directrices para la gestión del riesgo por uso de aplicaciones de software libre.
Hasta acá la lista, quizas existen mas, así que si conoces otra metodologia o herramienta para la gestion de riesgos en seguridad informatica te invitamos a que hagas tu aporte :)
En la proxima y ultima parte: Gestión o tratamiento de Riesgos.