Introducción

En este documento vamos a Identificar dos de las más importantes metodologías en cuanto al análisis de riesgos y vulnerabilidades en una Organización, como lo son Octave y Magerit.

Estas son las dos más utilizadas a Nivel mundial, una porque es en español ya que fue desarrollada por el Consejo Superior de Administración Electrónica que hace parte del Ministerio de Administraciones Publicas de España y la otra porque es muy resumida en cuanto a la identificación de los activos de la Organización y no los clasifica demasiado, estamos hablando de Magerit y Octave respectivamente.

Como lo mencionábamos Magerit fue creada por el Consejo Superior de Administración Electrónica y es muy utilizado por la implementación y el resultado que ofrece, ya que es muy sutil en el momento de clasificar los Activos de la Organización y describe métodos muy útiles y prácticos para realizar el análisis de los riesgos, sin mencionar la infinidad de documentación que hay en Internet.

Por otro lado Octave fue desarrollada por CERT que es una Empresa con sede en la  Universidad Carnegie Mellon  en Pittsburgh (Pennsylvania), uno de los centros de investigación de Informática y Robótica más importantes de EEUU.

El Programa CERT ® forma parte del Instituto de Ingeniería de Software (SEI), y es una investigación financiada por el gobierno federal y el centro de desarrollo en la Universidad Carnegie Mellon en Pittsburgh, Pennsylvania.

MAGERIT

En el periodo transcurrido desde la publicación de la primera versión de Magerit (1997) hasta la fecha, el análisis de riesgos se ha venido consolidando como paso necesario para la gestión de la seguridad.

La Evaluación del riesgo es fundamental para llevar  cabo planes de seguridad y de contingencia dentro de la organización, para poder gestionarlos y hacerse riguroso frente a posibles ataques a los datos y la información tanto de la organización, como de los servicios que presta.

Objetivos de Magerit:

Directos

1-    Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.

2-    Ofrecer un método sistemático para analizar tales riesgos.

3-    Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.

Indirectos

4-    Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.

Breve Contextualización

Magerit es una metodología que se esfuerza por enfatizarse en dividir los activos de la organización en variados grupos, para identificar más riesgos y poder tomar contramedidas para evitar así cualquier inconveniente.

La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de las tecnologías de la información, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.

OCTAVE

Operationally Critical Threats Assets and Vulnerability Evaluation. Es un método de evaluación y de gestión de los riesgos para garantizar la seguridad del sistema informativo, desarrollado por el estándar internacional ISO270001.

Octave Tiene dos objetivos específicos que son:

1-    Desmitificar la falsa creencia: La Seguridad Informática es un asunto meramente técnico.

2-    Presentar los principios básicos y la estructura de las mejores prácticas internacionales que guían los asuntos no técnicos.

Octave divide los activos en dos tipos que son:

1-    Sistemas, (Hardware. Software y Datos)

2-    Personas

Esta es una pequeña Tabla comparativa de las dos metodologias

About these ads