Tabla Comparativa Analisis de Riesgos Nist y Magerit ¿ QUE ES NIST ?
La nist ( Instituto Nacional de Normas y Tecnología ) es una organización de administración de tecnología del departamento de comercio de estados unidos que tiene como función mejorar la competitividad industrial por medio de avances en campos como la metrología, normas y tecnología a fin de establecer seguridad y buenas practicas en los procesos.
Una de las normas que a desarrollado es la ( nist SP 80030 ) que define los procedimientos para el análisis de Riesgos de los sistemas de información.
¿ Que es Magerit ?
Magerit ( Metodología de análisis y Gestión de Riesgos de los Sistemas de Información ), desarrollada por CSAE ( Consejo Superior de Administración Electrónica ) debido al creciente uso de medios electrónicos para el manejo de la información en esta norma se definen las practicas adecuadas para manipular la información en dichos medios de forma mas segura
¿ Por que Magerit ?
Esta norma ayuda a implementar un sistema de gestión y análisis de Riesgos de los sistemas de información de forma organizada ya que esta estructurada en procesos bien definidos .
VENTAJAS:
– Ofrece un método sistematizado para analizar los Riesgos
– Ayuda a identificar y planificar medidas necesarias para reducir los Riesgos
– Herramientas que ayudan a facilitar el análisis de Riesgos ( PILAR)
Tabla Comparativa Magerit – Nist
MAGERITMetodología de análisis y Gestión de Riesgos
de los Sistemas de Información
NIST SP 80030Instituto Nacional de Normas Y Tecnologías
OBJETIVOS
Generar conciencia a los administradores de sistemas sobre la existencia de riesgos y la necesidad de prevenirlos.
Ofrecer una metodología sistematizada para analizar los Riesgos
Ayudar a identificar y planificar las medidas para tener los riegos bajo control
OBJETIVOS
Asegurar mejor los sistemas de informáticos que almacenan, procesan y trasmiten información
Permitir y gestionar los Riesgos
Mejorar la administración a partir de los Resultados del análisis de Riesgos
METODOLOGIA
– análisis de Riesgos– Activos– Tipos– Dependencias– Amenazas– Determinación del riesgo– Activos– Salvaguardas– Selección de salvaguardas
METOLOLOGIA
Caracterización Identificación de las Amenazas Identificación Vulnerabilidades Analisis de Control Determinación de la probabilidad Analisis del Impacto Determinación del riesgo Recomendaciones de Control Resultados Documentación
ANALISIS DE RIESGOS
Determinar lo que tiene la organización y lo que Podría pasar
Identificar los activos relevantes para la organización
Determinar las amenazas a las que están expuestos
- Determinar impacto,daño sobre el activo debido a la materialización de una (amenaza)
CARACTERIZACION
Se utiliza para caracterizar un Sistema De TI y Su entorno operativo
Hardware Software Sistema de Interfaces conectividad interna y externa Datos y Información Personas que apoyan y utilizan el sistema Criticidad de los Datos
ACTIVOSRecursos que tienen un valor para la entidad en función al servicio que le presta
IDENTIFICACION DE AMENAZASIdentificar y Listar Amenazas potenciales
detección de Métodos dirigidos a Explotar una vulnerabilidad
Situación que accidental o intencionalmente puedan llevar a la materialización de una amenaza
TIPOS
Servicios: comunicación, administración ( etc ) Aplicaciones informáticas: que permiten manipular los datosEquipos: para la operación de los sistemasSoportes de Información: dispositivosPara el almacenamiento de los datosEquipamiento Auxiliar: impresoras, scaner etc Redes de comunicación: para intercambio de datosInstalaciones: lugar que aloja los equipos informáticos y de comunicaciónPersonal: Encargados de operar dichos equipos
VULNERABILIDADES
Elaborar lista de Vulnerabilidades (defectos y puntos débiles), que podrían Ser explotados por una Amenaza
Hardware Software Personal Instalaciones
DEPENDENCIAS
Que activos dependen de cuales y como:
Información – Medios de almacenamiento
ANALISIS DE CONTROL
Analiza los controles implementados por la empresa para la reducción de la reducción de la(probabilidad), que una amenaza se materialicesobre el sistema
Detección de intrusos Control de la ejecución,acceso,cifrado y Autenticación
AMENAZAS
Determinar la amenaza para cada activo Factores: Degradación: Cuanto perjudicaría el Activo Frecuencia: Cada cuanto se materializa la Amenaza
DETERMINACION DE PROBABILIDAD
Obtiene una clasificación global del riesgo queindica la probabilidad de de que una vulnerabilidad materialice una amenaza
Factores: Amenaza Naturaleza de la Vulnerabilidad Existencia y Eficacia de los controles actuales
DETERMINACION DEL RIESGO
Daño probable sobre el sistema o activos El riesgo aumenta con la frecuencia y el impacto
ANALISIS DE IMPACTO
Medición del nivel de Riesgo para determinarefectos adversos derivados derivados de la materialización de una amenaza
Función del sistema (procesos realizados por el sistema) Criticidad y sensibilidad de los datos Servicios críticos
SALVAGUARDAS
Medidas o mecanismos para mitigar los Riesgos Función: Reducir las amenazas Limitar el daño Causado
DETERMINACION DEL RIESGO
Evalúa el nivel de riesgo para el sistema.
Determinando la amenaza y la fuente de la misma Magnitud del impacto al materializarse una amenaza
SELECCION SALVAGUARDAS
Tomar medidas que permitan reducir tanto el Riesgo como el Impacto
Técnicas Efectivas para enfrentar las Amenazas
RECOMENDACIONES DE CONTROL
Dar a conocer los controles para la reducción de los Riesgos en los sistemas de las T.I, teniendo en cuenta los siguientes factores:
Eficacia de las soluciones implantadas Legislación y Regulación Impacto operativo Seguridad y Fiabilidad
DOCUMENTACIONUna vez terminada la evaluación de Riesgos y vulnerabilidades y amenazas Realizar un informe de los Resultados Obtenidos para posteriores análisis