Metodologas para seguridad informtica

Un Sistema de Seguridad Informtica es un conjunto de medios administrativos,

medios tcnicos y personal que de manera interrelacionada garantizan niveles de
seguridad informtica en correspondencia con la importancia de los bienes a
proteger y los riesgos estimados7.

El Plan de Seguridad Informtica es la expresin grfica del Sistema de Seguridad

Informtica diseado y constituye el documento bsico que establece los
principios organizativos y funcionales de la actividad de Seguridad Informtica en
una Entidad y recoge claramente las polticas de seguridad y las
responsabilidades de cada uno de los participantes en el proceso informtico, as
como las medidas y procedimientos que permitan prevenir, detectar y responder a
las amenazas que gravitan sobre el mismo.

Durante el proceso de diseo de un Sistema de Seguridad Informtica se

distinguen tres etapas:

1. Determinar las necesidades de proteccin del sistema informtico objeto

de anlisis, que incluye:

Caracterizacin del sistema informtico.

Identificacin de las amenazas y estimacin de los riesgos.

Evaluacin del estado actual de la seguridad.

2. Definir e implementar el sistema de seguridad que garantice minimizar

los riesgos identificados en la primera etapa.

Definir las polticas de seguridad.

Definir las medidas y procedimientos a implementar.

3. Evaluar el sistema de seguridad diseado.

Existen diferentes mtodos para el anlisis de riesgos de la seguridad informtica.
Algunos de los mtodos o metodologas son8:
Metodologa MAGERIT
La metodologa MAGERIT divide los activos de la organizacin en varios grupos lo
que nos permite identificar ms riesgos de manera especifica y asi poder tomar
medidas para evitar as cualquier problema.
En el periodo transcurrido desde la publicacin de la primera versin de Magerit
(1997) hasta la fecha, el anlisis de riesgos se ha venido consolidando como paso
necesario para la gestin de la seguridad.
La evaluacin de los riesgos es fundamental para poder llevar a cabo planes de
seguridad y de contingencia dentro de la organizacin y asi poder hacer frente a
posibles ataques a los datos y la informacin tanto de la organizacin, como de los
servicios que presta.
Esta metodologa est basado en tres submodelos que son:.

De elementos: Este submodelo se clasifican 6 elementos bsicos que

son: activos, amenazas, vulnerabilidades, impacto, riesgo, salvaguarda.

De eventos: Aqu se clasifican los elementos anteriores en tres formas:

dinmico fsico, dinmico organizativo y esttico.

De procesos: Se definen en 4 etapas: anlisis de riesgo, planificacin,

gestin de riesgo y seleccin de salvaguardas.

Metodologa CORAS (Construct a platform for Risk Analysis of Security

critical system)
Esta metodologa fue desarrollado a partir de 2001 por SINTEF, un grupo de
investigacin noruego financiado por organizaciones del sector pblico y privado.
Se desarroll en el marco del Proyecto CORAS (IST-2000-25031) financiado por la
Unin Europea.
El mtodo nos proporciona:

Una metodologa de anlisis de riesgos basado en la elaboracin de

modelos, que consta de siete pasos, basados fundamentalmente en
entrevistas con los expertos.

Un lenguaje grfico basado en UML (Unified Modelling Language) para

la definicin de los modelos (activos, amenazas, riesgos y
salvaguardas), y guas para su utilizacin a lo largo del proceso. El
lenguaje se ha definido como un perfil UML.

Un editor grfico para soportar la elaboracin de los modelos, basado en

Microsoft Visio.

Una biblioteca de casos reutilizables.

Una herramienta de gestin de casos, que permite su gestin y

reutilizacin.

Representacin textual basada en XML (eXtensible Mark-up Language)

del lenguaje grfico.

Metodologa NIST SP 800-30 (National Institute of Standards and Technology)

El NIST (National Institute of Standards and Technology) ha dedicado una serie de
publicaciones especiales, la SP 800 a la seguridad de la informacin. Esta serie
incluye una metodologa para el anlisis y gestin de riesgos de seguridad de la
informacin, alineada y complementaria con el resto de documentos de la serie.
El proceso de gestin de riesgos definido en la metodologa NIST SP 800-30
puede resumirse en el siguiente grfico:

Metodologa OCTAVE
Es una metodologa de evaluacin y de gestin de los riesgos para garantizar la
seguridad del sistema informativo, desarrollado por el estndar internacional
ISO270001.
El ncleo central de OCTAVE es un conjunto de criterios (principios, atributos y
resultados) a partir de los cuales se pueden desarrollar diversas metodologas.

Tiene dos objetivos especficos que son:

Desmitificar la falsa creencia: La Seguridad Informtica es un asunto

meramente tcnico.

Presentar los principios bsicos y la estructura de las mejores prcticas

internacionales que guan los asuntos no tcnicos.

Divide los activos en dos tipos que son:

Sistemas, (Hardware. Software y Datos)

1. Personas
La metodologa OCTAVE est compuesta en tres fases:
1. Visin de organizacin: Donde se definen los siguientes elementos:
activos, vulnerabilidades de organizacin, amenazas, exigencias de
seguridad y normas existentes.
2. Visin tecnolgica: se clasifican en dos componentes o elementos:
componentes claves y vulnerabilidades tcnicas.
3. Planificacin de las medidas y reduccin de los riesgos: se clasifican en
los siguientes elementos: evaluacin de los riesgos, estrategia de
proteccin, ponderacin de los riesgos y plano de reduccin de los
riesgos.
Las fases del proceso pueden resumirse en el siguiente grfico: