Resultados 1 al 3 de 3
  1. #1
    Dragonauta Oficial

    Fecha de ingreso
    02 oct, 08
    Ubicación
    omicron persei 8
    Mensajes
    597
    Gracias
    148
    Agradecido 167 veces en 67 Mensajes

    Wink Análisis de riesgos: ISO 27005 vs Magerit y otras metodologías

    Servicios de Seguridad Informática

    Les comparto está información que creo les podría ser útil.

    Tomada de: Noticias de Seguridad Informática - Segu-Info: Análisis de riesgos: ISO 27005 vs Magerit y otras metodologías

    Como es ya de sobra conocido por todos los que trabajamos en el ámbito de la seguridad de la información, la piedra angular de todo SGSI (Sistema de Gestión de Seguridad de la Información) es la realización del pertinente análisis de los riesgos asociados a nuestros activos de información.

    La importancia del Análisis de Riesgos deriva de que es la herramienta que nos va a permitir identificar las amenazas a las que se encuentran expuestos dichos activos, estimar la frecuencia de materialización de tales amenazas y valorar el impacto que supondría en nuestra Organización esa materialización.

    En el campo del Análisis de Riesgos, en España tenemos un referente indiscutible cuando nos planteamos la metodología a seguir. Si, ese referente es MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Actualmente por la versión 2.0, goza de una excelente salud y está reconocida por ENISA (European Network and Information Security Agency) junto a otras metodologías europeas e internacionales. Es una metodología de carácter público elaborada por el Consejo Superior de Administración Electrónica (CSAE), órgano del Ministerio de Administraciones Públicas (MAP) encargado de la preparación, elaboración, desarrollo y aplicación de la política informática del Gobierno Español.

    Si hasta ahora este reinado de MAGERIT ha sido indiscutible -con la interesante excepción de aquellos profesionales que han decidido elaborar sus “propias” metodologías por considerar que se adaptaban mejor a sus organizaciones- desde hace relativamente poco tiempo disponemos de un competidor de peso. Este nuevo actor en la escena del Análisis de Riesgos es, como ya muchos se habrán imaginado, el estándar internacional ISO/IEC 27005:2008, titulado Information technology – Security techniques – Information security risk management.

    ISO 27005 “derogó” las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000, y proporciona desde su publicación en Junio del pasado año 2008, un conjunto de directrices para la correcta realización de un Análisis de Riesgos.

    Señalar, no obstante, que ISO 27005 no proporciona una metodología concreta de Análisis de Riesgos, sino que describe a través de su clausulado el proceso recomendado de análisis incluyendo las fases que lo conforman:

    • Establecimiento del contexto (Cláusula 7)
    • Evaluación del riesgo (Cláusula 8)
    • Tratamiento del riesgo (Cláusula 9)
    • Aceptación del riesgo (Cláusula 10)
    • Comunicación del riesgo (Cláusula 11)
    • Monitorización y revisión del riesgo (Cláusula 12)

    En pocas palabras, la norma nos sirve para no tener dudas sobre los elementos que debe incluir toda buena metodología de Análisis de Riesgos, por lo que, visto desde este punto de vista puede constituirse como una metodología en si misma.

    Además, el estándar incluye seis Anexos (A-F) de carácter informativo y no normativo, con orientaciones que van desde la identificación de activos e impactos, ejemplos de vulnerabilidades y sus amenazas asociadas, hasta distintas aproximaciones para el análisis distinguiendo entre análisis de riesgos de alto nivel y análisis detallado.

    Pero ¿con que argumentos cuenta ISO 27005 frente a MAGERIT u otras metodologías existentes? Pues la verdad es que existe una división palpable en el sector, incluso a nivel europeo (en este caso, lógicamente, comparando el estándar ISO frente a las metodologías propias de cada país).

    Por una parte, están aquellos que han acogido al nuevo estándar con gran entusiasmo, entendiendo que supone la oficialización a nivel internacional de los requisitos que ha de cumplir una metodología de Análisis de Riesgos, y que por tanto aporta claridad a un ámbito que seguramente estaba necesitándola. Esta postura es frecuente entre quienes se dedican a la implantación de Sistemas de Gestión bajo ISO 27001 –la referencia absoluta en gestión de la seguridad–, ya que ISO 27005 ha nacido claramente para apoyar la tarea del análisis y la gestión de riesgos en el marco de un SGSI.

    En el lado contrario encontramos a quienes no terminan de ver la aportación de este estándar para los profesionales del análisis de riesgos, habida cuenta las numerosas metodologías existentes. Desde estas posiciones, más puristas de la gestión de riesgos, la crítica se centra en señalar que el nuevo estándar no se adentra realmente en la gestión de los mismos, sino que se queda en un mero marco declarativo de determinados riesgos, y que dicho marco se enlaza con un ciclo PDCA (Plan, Do, Check, Act) con el fin de revisar dichos riesgos.

    Los críticos con ISO 27005 añaden otro aspecto que no termina de convencerles, y es precisamente esa subordinación –para ellos sin duda excesiva– del estándar hacia el SGSI. Consideran que no es admisible la declaración que se hace en la subcláusula 7.1 de la norma, que cita como finalidades del Análisis de Riesgos, entre otras, el apoyo a un SGSI. Esta declaración es puesta en entredicho argumentando que en realidad la implementación de un SGSI es consecuencia de un análisis de riesgos previo, y no al revés. No parece desenfocada en absoluto esta última opinión, ya que precisamente el SGSI tiene como finalidad, y valga en este caso la redundancia, gestionar la Seguridad de la Información siempre desde el punto de partida que supone el Análisis de Riesgos.

    Al margen de controversias, que no tienen por qué ser estériles, lo cierto es que desde hace poco más de un año los profesionales que nos dedicamos a la Seguridad de la Información disponemos de un nuevo apoyo para esa difícil y crucial tarea que es el Análisis y la Gestión de Riesgos de los activos de información en las organizaciones. Tarea que, hay que decirlo, necesita de cuantas más aportaciones, mejor.

    Entre esas aportaciones cabe destacar por parte española la publicación un mes después de que lo hiciera ISO 27005, de una –en este caso si- metodología de Análisis de Riesgos bajo la forma de norma UNE. Nos referimos, claro está, a la UNE 71504, de la que sin duda será interesante hablar en otra ocasión y compararla con ese referente indiscutible en España que es MAGERIT.

    Fuente: Análisis de riesgos: ISO 27005 vs magerit y otras metodologías | GestioPolis
    @vit0y4
    Ing. de Sistemas
    CEH - ISO 27001

  2. #2
    Recien Nacido

    Fecha de ingreso
    11 abr, 11
    Mensajes
    3
    Gracias
    0
    Agradecido 0 veces en 0 Mensajes

    Predeterminado

    Buen punto estimado vit0y4

    Tengo una inquietud.
    Que hay, de la nueva metodología OSSTMM (Security By Default: Metodología OSSTMM), ISCA en los preparativos para la certificación del CISA ya lo está promocionando.

    Además quisiera conocer opiniones y consideraciones de qué metodología sería la más recomendada para realizar Gestión de riesgos en ambientes virtualizados. Considerando de las más opcionadas (Magerit, ISO/IEC 27005 y OSSTMM).
    Para prevenir ataques de blue pill, hyperhacking, etc. Con el objetivo de poder correr el hypervisor en modo seguro.

    Gracias por sus aportes.

  3. #3
    Dragonauta Oficial

    Fecha de ingreso
    02 oct, 08
    Ubicación
    omicron persei 8
    Mensajes
    597
    Gracias
    148
    Agradecido 167 veces en 67 Mensajes

    Red face

    Pido mil disculpas por no haber contestado antes a tu mensaje, a pesar que tu pregunta no es clara, con respecto a la metodología OSSTMM te puedo decir que es una metodología para la aplicación de auditorias de seguridad en varios niveles o ámbitos, maneja conceptos netamente técnicos, pero es muy interesante explorarla dado la facilidad que trae para la evaluación de los resultados de una auditoría.

    Con respecto al resto de tu mensaje, sería interesante examinar las opiniones de todos al respecto, aunque espero que seas mas explicito al hablar de los "Ambientes Virtualizados" a los que te refieres, por lo de mas creo lo principal antes de hablar de prevenir ataques de algún tipo es definir que es lo que realmente quieres proteger y cuanto estas dispuesto a invertir o a sacrificar para hacer mas efectiva la gestión de los riesgos.

    Anímate a crear un nuevo tema en el sub-foro, prometemos estar mas atentos para contestar oportunamente a tus inquietudes.
    @vit0y4
    Ing. de Sistemas
    CEH - ISO 27001

Información de tema

Usuarios viendo este tema

Actualmente hay 1 usuarios viendo este tema. (0 miembros y 1 visitantes)

Visitantes encuentran esta página buscando por:

matriz de riesgo magerit

caracteristicas de magerit

caracteristicas de la metodologia magerit

matriz de riesgos informaticos

matriz magerit

caracteristicas de iso 27005

caracteristicas magerit

caso practico metodologia magerit

magerit resultados

matriz de riesgos iso 27005

magerit matriz

margerit riesgos

iso 27005

iso 27005 matriz

como realizar una matriz de riesgo iso 27005

analisis de riesgos 27005

matriz magerit

magerit caracteristicas

caracteristicas de la metodologia margerit

ejemplo practico metodologia magerit

iso 27005 matriz de riesgos

ejemplo practico magerit

caracteristicas metodologia magerit

metodologia magerit

metodologia magerit caracteristicas

Etiquetas para este tema

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •  

Iniciar sesión

Iniciar sesión