Introducción. Comisión de los métodos CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS. 30, rue Pierre Semard, PARIS
Tamaño: px
Comenzar la demostración a partir de la página:

Download "Introducción. Comisión de los métodos CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS. 30, rue Pierre Semard, 75009 PARIS"

Transcripción

1 MEHARI 2007 Introducción Comisión de los métodos Mehari es una marca registrada por el Clusif CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 30, rue Pierre Semard, PARIS Tél.: Fax: clusif@clusif.asso.fr - Web: Introducción a MEHARI 1

2 Agradecimientos El CLUSIF quiere agradecer a Jean-Philippe Jouas y a Jean-Louis Roule, autores de esta introducción de la metodología de gestión de la seguridad MEHARI, quienes han permitido la publicación por el CLUSIF. El CLUSIF quiere agradecer igualmente a Hugo Llanos (ALTIA Consultores, S.L.) que ha realizado la traducción del presente documento al español. Por favor, envía tus preguntas o comentarios a: mehari@clusif.asso.fr Índice 1. Introducción Empleo de Mehari Los diagnósticos de seguridad El diagnóstico de seguridad, un elemento del análisis de riesgos Planes de seguridad basados en diagnósticos de vulnerabilidad Soporte proporcionado por la bases de conocimiento en la creación de un marco de referencia de seguridad Dominios cubiertos por el módulo de diagnóstico Síntesis sobre los módulos de diagnóstico Análisis de los intereses implicados por la seguridad Analizando los intereses implicados por la seguridad, base del análisis de riesgos El análisis de los intereses implicados por la seguridad: piedra angular de cualquier plan de acción Clasificación: un elemento esencial para las políticas de seguridad Análisis de intereses implicados por la seguridad: base de planes de seguridad Análisis de riesgos Análisis de riesgos: metodología para la elaboración del plan de seguridad Análisis sistemático de situaciones de riesgo Análisis específico de situaciones de riesgo Análisis de riesgo en nuevos proyectos Descripción general de las aplicaciones de MEHARI Mehari y los estandares internacionales Los respectivos objetivos de ISO 17799, ISO/IEC y de MEHARI Objetivos del estándar ISO/IEC 17799: Objetivos de la ISO/IEC Objetivos de MEHARI Comparación de los objetivos de MEHARI con los estandares ISO e ISO/IEC Compatibilidad entre los marcos metodológicos Compatibilidad con el estándar ISO Compatibilidad con el estándar ISO Introducción a MEHARI 2

3 1. INTRODUCCIÓN MEHARI fue inicialmente diseñado para apoyar a los Responsables de Seguridad en sus tareas de gestión de la seguridad de los sistemas de información. MEHARI está en permanente evolución para satisfacer la naturaleza cambiante del entorno del negocio. Esta introducción está dirigida principalmente a los Responsables de Seguridad, pero está igualmente dirigida a los auditores o gerentes de riesgo que comparten las mismas o similares preocupaciones. El principal objetivo de este documento es describir brevemente la utilización de MEHARI. En el CLUSIF se encuentran disponibles otra serie de documentos que ofrecen una descripción más detallada de la metodología y de las herramientas asociadas. Concretamente: MEHARI: Conceptos y Mecanismos, MEHARI: Análisis de intereses y Guía de clasificación MEHARI: Guía de evaluación para servicios de seguridad MEHARI: Guía de Análisis de Riesgos, MEHARI Bases de conocimiento y Manuales de referencia (servicios de seguridad y escenarios de riesgo). MEHARI provee una serie de herramientas específicamente diseñadas para la gestión de la seguridad, que comprende una serie de acciones de gestión, y que cada una de ellas tiene un objetivo específico. Algunos ejemplos: Desarrollar planes de seguridad, o planes estratégicos, Implementar políticas o normas de seguridad, las cuales se agruparán bajo el término marco de referencia de seguridad, Estado de situación o evaluaciones detalladas del estado de la seguridad, Evaluación y gestión del riesgo Asegurar la inclusion de la seguridad en la gestión de proyectos de desarrollo, Sensibilización sobre la seguridad y sesiones de formación, Gestión operativa de la seguridad y control/monitorización de las acciones ejecutadas. Estas acciones de gestión, y similares, se pueden ejecutar sucesivamente o simultáneamente, por una única o varias entidades, y en función de requerimientos permanentes o específicos. Además, estas acciones pueden ser ejecutadas de forma independiente o como parte de un programa global. Estas mismas acciones se pueden llevar a cabo de diferentes formas, según diferentes factores: La madurez, en términos de seguridad, de la organización y su personal, El nivel de implicación de la dirección en la toma de decisiones relativas a la seguridad de la información, La cultura de la empresa: jerárquica y tecnocrática (las normas existen y se aplican), o por el contrario, descentralizada. Introducción a MEHARI 3

4 Considerando estas diferencias, el principal requerimiento de una metodología es que venga acompañada de una serie de herramientas: apropiadas para cada situación, coherentes y complementarias entre sí, permitiendo alternar entre unas y otras según la necesidad sin duplicar las tareas ni procurar un sobre trabajo. MEHARI proporciona una metodología coherente, con bases de conocimiento apropiadas, para acompañar a los Responsables de Seguridad, responsables generales, o a cualquier otra persona implicada en la reducción de riesgos, en cualquiera de las diferentes actividades o acciones. La comparación de MEHARI con los estándares internacionales esta relacionada al final de este documento. Introducción a MEHARI 4

5 2. EMPLEO DE MEHARI MEHARI es principalmente un método para el análisis y gestión del riesgo. En la práctica, esto significa que MEHARI y sus bases de conocimiento han sido diseñadas para un análisis de riesgos preciso, cuando sea necesario, sin imponer el análisis de riesgo como una política de gestión prioritaria. En realidad, la gestión de la seguridad es una función o actividad que evoluciona con el tiempo. La naturaleza de las acciones de gestión de la seguridad depende de los esfuerzos realizados por la organización. Durante los primeros pasos a dar en la seguridad, no hay duda de que es necesario conocer el estado de las medidas y políticas de seguridad existentes en la organización, y de compararlas con las mejores prácticas para clarificar el camino a seguir. Siguiendo a esta evaluación del estado, y tras tomar la decisión de implementar la seguridad en la organización, deben decidirse las acciones concretas que es necesario llevar a cabo. Estas decisiones, que habitualmente se agruparán en forma de planes, normas corporativas, políticas o marcos de referencia de seguridad, deben llevarse a cabo utilizando una metodología estructurada. Esta metodología puede basarse en un análisis de riesgos, o incluir el concepto de riesgo, aunque no es imperativo. Existen otros medios, como conformarse con un estándar interno, profesional o interprofesional. Cualquier sea el método escogido, es preciso conocer y evaluar los intereses implicados por la seguridad. Muchas veces, casi tomada la decisión, la persona que tiene el poder de decisión final para asignar el presupuesto apropiado preguntará es realmente necesario?. Sin una evaluación preliminar y sin un acuerdo general sobre los intereses implicados, se abandonan o retrasan muchos proyectos de seguridad. De todos modos, tarde o temprano, llegará la cuestión del nivel del riesgo que corre la organización o empresa. Habitualmente se formula así: Han sido identificados todos los riesgos, y son aceptables sus niveles?. Por eso, se necesita una metodología que incluya un análisis de riesgos y que se aplique tanto al nivel general como a un proyecto específico. La coherencia de las herramientas es el principio fundamental de MEHARI, cada resultado obtenido en una etapa puede reutilizarse en ulteriores etapas. Las diferentes herramientas y módulos de la metodología MEHARI, diseñadas para realizar el análisis de riesgos, pueden ser utilizadas de forma independiente en cualquier etapa del desarrollo de la seguridad, utilizando diferentes modos de gestión, y garantizando la coherencia de las decisiones resultantes. Todas estas herramientas y módulos -brevemente descritos a continuación- abarcan las herramientas necesarias para la evaluación del estado de la seguridad, un módulo para analizar los intereses implicados por la seguridad, y un método de análisis de riesgos con herramientas de apoyo Los diagnósticos de seguridad MEHARI propone dos módulos para los diagnósticos de la seguridad : Módulo rápido 1 Módulo detallado 1 Este modulo se encuentra en desarrollo actualmente Introducción a MEHARI 5

6 En cada uno de los dos casos, el objetivo es evaluar el nivel de seguridad. En la práctica, la evaluación juzgará la calidad de los servicios de seguridad. Los resultados dependerán claramente de la profundidad de la evaluación; si se realiza con el módulo rápido, menos precisión; si se utiliza el detallado, más confiable. El módulo rápido se utiliza para una primera evaluación de las principales debilidades. Los servicios de seguridad que son examinados son los mismos que los que se verifican con la evaluación detallada, o auditoria, pero las preguntas no bastan para evaluar todas las debilidades. En este sentido, cualquier debilidad identificada es ciertamente una debilidad, pero sin embargo puede que fortalezas no lo sean. El módulo de evaluación detallado busca, detenidamente, las posibles debilidades de cada uno de los servicios de seguridad. Esto constituye una base experta, utilizable posteriormente para el análisis de riesgos. La coherencia entre estos dos módulos permite comenzar con el módulo rápido, cuyos diagnósticos pueden profundizarse después con el módulo detallado. Los módulos 2 de diagnósticos de seguridad pueden utilizarse de diferentes maneras El diagnóstico de seguridad, un elemento del análisis de riesgos MEHARI proporciona un método de análisis de riesgos estructurado que será explicado más tarde a lo largo de este documento. Brevemente, la modelización del riesgo define "factores de reducción del riesgo, cuya evaluación depende de la calidad de los servicios de seguridad. Un diagnostico detallado de los servicios de seguridad será la base esencial para asegurar la reducción de los riesgos - un punto importante para la credibilidad del análisis de riesgos Planes de seguridad basados en diagnósticos de vulnerabilidad Un modo de gestión de la seguridad consiste en la definición de planes de acción como consecuencia directa de la evaluación del estado de los servicios de seguridad. El proceso de gestión de la seguridad es entonces sumamente sencillo: efectuar una evaluación y mejorar todos los servicios que no tienen un nivel de calidad suficiente. El empleo de un análisis preliminar de los intereses implicados por la seguridad también es planificado para, de esta forma, proporcionar un enlace a este módulo de MEHARI (descrito más tarde en este documento). Las diferentes etapas y el consejo para poner en práctica esta forma de gestión se describen en el documento MEHARI - Guía de Evaluación de servicios de seguridad Soporte proporcionado por la bases de conocimiento en la creación de un marco de referencia de seguridad El módulo de evaluación detallado emplea la base de conocimiento de servicios de seguridad (documentado en MEHARI manual de referencia de servicios de seguridad). Esto describe, para cada servicio: para qué sirve, contra que es usado, los mecanismos y soluciones que soportan el servicio, y los elementos que deberían ser considerados cuando se evalúa la calidad del servicio. Esta base de conocimiento única puede ser usada directamente para crear un marco de referencia de seguridad (o la política de seguridad) que contendrá y describirá el juego de reglas de seguridad e instrucciones que la empresa o la organización deberán seguir. Este modo de gestión de la seguridad se utiliza habitualmente en organizaciones o empresas con un número significativo de unidades independientes operacionales o delegaciones. Un claro ejemplo es una gran empresa multinacional con un elevado número de filiales; pero se aplica de forma sencilla igualmente a empresas de menor tamaño con un alto número de sucursales 2 Los diagnósticos de seguridad se describen en MEHARI Guía de evaluación de servicios de seguridad. Introducción a MEHARI 6

7 regionales o agencias. En estos casos, es difícil realizar un número tan elevado de evaluaciones o análisis de riesgos. Construcción del marco de referencia de seguridad Los cuestionarios de evaluación y, sobre todo, el Manual de referencia de servicios de seguridad con las explicaciones adicionales que proporciona, son un buen punto de partida para los responsables de seguridad para decidir que se debe aplicar en su organización. Gestión de las derogaciones a las reglas La creación de un conjunto de reglas, a través de un marco de referencia de seguridad, pasa a menudo por dificultades en la implementación local; en este caso, se deben gestionar las derogaciones y excepciones a estas reglas. La utilización de una base de conocimientos coherente, con un juego de herramientas igualmente coherente, y una metodología analítica, permite gestionar las divergencias locales. Un análisis específico de riesgo sobre la dificultad identificada permite resolver el problema Dominios cubiertos por el módulo de diagnóstico Desde un punto de vista de análisis de riesgos, para identificar todas las situaciones de riesgo y cubrir todos los riesgos no aceptables, MEHARI no se restringe únicamente al dominio informático. El módulo de diagnóstico cubre, además del sistema de información, la totalidad de la organización, la protección del sitio en general, el entorno de trabajo y aspectos legales y reglamentarios Síntesis sobre los módulos de diagnóstico Los módulos de diagnóstico ofrecen una vista amplia y coherente de la seguridad, pueden usarse de diferentes maneras, con varios grados de progresividad según la madurez sobre la seguridad en la empresa o la organización Análisis de los intereses implicados por la seguridad Independientemente de las orientaciones de las políticas de seguridad, hay un principio con el que todos los responsables están de acuerdo: debe haber un justo equilibrio entre las inversiones en seguridad y el nivel de los intereses implicados por la seguridad. Esto significa que un entendimiento apropiado de los intereses implicados por la seguridad es fundamental, y que el análisis de estos intereses merece un estudio prioritario y un método estricto y estructurado de evaluación. El objetivo de un análisis de los intereses implicados por la seguridad debe contestar la siguiente doble pregunta: Qué puede ocurrir, y si ocurre, puede ser serio? Esto muestra que, en el área de seguridad, los intereses son vistos como las consecuencias de eventos que perturben las operaciones habituales de una empresa o de la organización. MEHARI proporciona un módulo de análisis de los intereses implicados por la seguridad, descrito en el documento MEHARI: Análisis de los intereses implicados por la seguridad y clasificación, del que se extraen dos resultados: Una escala de valoración de disfunciones. Una clasificación de la información y de los activos informativos Introducción a MEHARI 7

8 La escala de valoración de disfunciones La identificación de disfunciones o acontecimientos que se pueden temer, es un procedimiento que se apoya en las propias actividades de la empresa. Esto proporcionará: Una descripción de los posibles tipos de disfunciones. Una definición de los parámetros que influyen en la seriedad y gravedad de cada una de las disfunciones. Una evaluación de los límites críticos de aquellos parámetros que cambian el nivel de seriedad de las disfunciones. Esta serie de resultados constituye la escala de valoración de las disfunciones. Clasificación de la información y de los activos En la seguridad informática es habitual hablar de la clasificación de la información y de la clasificación los activos. Esta clasificación consiste en valorar, para cada tipo de información y para cada uno de los activos informáticos, la seriedad de la pérdida de cada cualidad característica, típicamente: Disponibilidad, Integridad, y Confidencialidad, de esta información o activo. La clasificación de la información y de los activos, para los sistemas de información, es la escala de valoración de disfunciones que se definió anteriormente, traducida en indicadores de sensibilidad asociados con los activos informáticos. Determinando los intereses implicados por la seguridad La escala de valoración de disfunciones y la clasificación de la información y de los activos son dos modos distintos de determinar los intereses implicados por la seguridad. El primero es más detallado y proporciona más información para los Responsables de Seguridad. El segundo es más global y más útil para campañas de concienciación y comunicación, pero pierde en precisión Analizando los intereses implicados por la seguridad, base del análisis de riesgos Claramente, este módulo es la clave en el análisis de riesgos. Sin un acuerdo común sobre las consecuencias de potenciales disfunciones, no es posible realizar ningún juicio sobre los niveles de riesgo El análisis de los intereses implicados por la seguridad: piedra angular de cualquier plan de acción Como se ha descrito en la introducción, el análisis de los intereses implicados por la seguridad se requiere habitualmente para poner en práctica cualquier tipo de plan de seguridad. Efectivamente, independientemente del modo de gestión de la seguridad empleado, más tarde i temprano será necesario poner medios para el plan de acción y justificar la necesidad de esta inversión. Los medios que se asignen a la seguridad serán, como ocurre con las pólizas de seguros, en proporción directa con el riesgo. Si no hay ningún acuerdo común sobre las potenciales disfunciones, entonces es muy improbable que se pueda asignar un presupuesto. Introducción a MEHARI 8

9 2.2.3 Clasificación: un elemento esencial para las políticas de seguridad Los marcos de referencia de seguridad, las políticas de seguridad, y este modo de gestión de la seguridad ya se han mencionado en este documento. En la práctica, las empresas que gestionan la seguridad con un conjunto de reglas están obligadas a establecer reglas diferentes según la sensibilidad de la información que está siendo procesada. Por ello, se suele referir a la clasificación de la información y del activo informático. El módulo de análisis de los intereses implicados por la seguridad de MEHARI proporciona el medio para realizar esta clasificación Análisis de intereses implicados por la seguridad: base de planes de seguridad El propio proceso de análisis de los intereses implicados por la seguridad, que obviamente requiere la contribución de los responsables operativos, provoca la necesidad de acciones inmediatas. La experiencia nos dice que, cuando la dirección operativa de alto nivel de responsabilidad, independientemente del tamaño de la organización, ha tomado conciencia de posibles disfunciones graves, está esperando una respuesta rápida y soluciones. Entonces la elaboración del plan de acción puede realizarse rápidamente y directamente con la experiencia del responsable de seguridad y la del responsable de la actividad Análisis de riesgos Muchas publicaciones relacionadas con la seguridad hablan del análisis de riesgo como la fuerza motriz de la seguridad, pero no dicen nada sobre los métodos que pueden ser utilizados. Durante más de diez años, MEHARI ha proporcionado una metodología estructurada para la evaluación del riesgo 3, basado en unos principios básicos. Una situación de riesgo está caracterizada por varios factores: Factores estructurales que no dependen de medidas de seguridad, pero si de la actividad principal de la organización, su entorno, y su contexto. Factores de reducción de riesgo que son una función directa de medidas de seguridad implementadas. MEHARI permite la evaluación cualitativa y cuantitativa de estos factores, y por consiguiente, ayuda en la evaluación de los niveles de riesgo. De hecho, el análisis de los intereses implicados por la seguridad se utiliza para determinar el nivel de gravedad máximo de las consecuencias de una situación de riesgo. Esto es típicamente un factor estructural, mientras que el diagnóstico de la seguridad se utilizará para evaluar los factores de reducción de riesgo Análisis de riesgos: metodología para la elaboración del plan de seguridad La identificación de factores de reducción de riesgo que dependen de las medidas de seguridad - proporciona una base metodológica para construir un plan de seguridad. Para ayudar en esta tarea, MEHARI proporciona una metodología estructurada y organizada para la planificación de la seguridad. 3 Se proporciona una descripción detallada del modelo de riesgos en MEHARI Conceptos Generales y Principales Mecanismos. Introducción a MEHARI 9

10 Esta metodología se fundamenta en una base de conocimientos de situación de riesgos y en procedimientos automatizados para la evaluación de los factores de reducción de riesgo. Por eso, se utiliza una herramienta software 4 que descarga al usuario de la necesidad de hacer cálculos, y que también proporciona simulaciones y optimizaciones. Este empleo de MEHARI tiene como objetivo la optimización global de las medidas de seguridad para reducir los riesgos Análisis sistemático de situaciones de riesgo En la misma base metodológica, un modo de gestión de la seguridad ligeramente diferente es: identificar todas las situaciones de riesgo potenciales, analizar las más críticas e identificar las acciones para reducir cada riesgo a un nivel aceptable. Las bases de conocimiento de MEHARI han sido desarrolladas para permitir este modelo de gestión. Este empleo de MEHARI tiene como objetivo asegurar que se ha identificado cada situación de riesgo crítica y que ésta es cubierta por un plan de acción Análisis específico de situaciones de riesgo El mismo conjunto de herramientas se puede utilizar en cualquier momento para ayudar a otros modelos de gestión de la seguridad. En los casos ya descritos, donde la seguridad se maneja a través de auditorias o marcos de referencia de seguridad, siempre habrá casos específicos por los cuales las reglas no podrán aplicarse. El análisis de riesgos específico se puede utilizar para decidir cual es el mejor camino a seguir Análisis de riesgo en nuevos proyectos El modelo y mecanismos MEHARI del análisis de riesgos pueden emplearse en la gestión de proyectos, para identificar los riesgos y decidir que medidas son necesarias Descripción general de las aplicaciones de MEHARI Claramente, la principal orientación de MEHARI es analizar y reducir riesgos. Sus bases de conocimiento, mecanismos y herramientas se han creado con este fin. Además, en la mente de los diseñadores de este conjunto metodológico, la necesidad de un método estructurado de análisis y reducción de riesgos puede ser, dependiendo de la organización: Un método de trabajo permanente la guía para un grupo especializado -, Un método de trabajo utilizado en paralelo junto a otras prácticas de gestión de la seguridad, Un método de trabajo utilizado ocasionalmente como complemento a las prácticas habituales. Con esto en mente, MEHARI proporciona un conjunto de conceptos, métodos y herramientas que permiten analizar los riesgos si es necesario. La metodología MEHARI, que comprende las bases de conocimiento, los manuales y las guías que describen los diferentes módulos (intereses implicados, riesgos, vulnerabilidades), ayuda al personal implicado en la gestión de la seguridad (Responsables de Seguridad, gerentes de riesgos, auditores, CIOs..), en sus diferentes tareas y actividades. 4 Risicare, una herramienta software, marca registrada de BUC SA Introducción a MEHARI 10

11 3. MEHARI Y LOS ESTANDARES INTERNACIONALES Pregunta frecuente : como se relaciona MEHARI con los estándares internacionales - en particular ISO 13335, ISO e ISO/IEC ?. Las herramientas de MEHARI no se pueden comparar directamente con las de los estándares internacionales. Sin embargo, se pueden comparar los objetivos y estudiar la compatibilidad entre ambos. El estándar ISO incluye un modelo de referencia para la gestión del riesgo con el que MEHARI es totalmente compatible. MEHARI proporciona un método y unas herramientas tal y como es requerido por el estándar. A continuación se analiza el estándar ISO e ISO/IEC con respecto a MEHARI Los respectivos objetivos de ISO 17799, ISO/IEC y de MEHARI Objetivos del estándar ISO/IEC 17799:2005 Este estándar estipula que una organización puede identificar sus exigencias de seguridad utilizando tres fuentes principales: Análisis de riesgos, Exigencias legales, estatutarias, regulatorias, o exigencias contractuales, El conjunto de principios, objetivos, y exigencias aplicados a los tratamientos de información que la organización ha desarrollado para soportar sus operaciones. Utilizando esto como base, se eligen e implementan puntos de control. Éstos se eligen : o bien de la lista de la sección código de prácticas para la gestión de la seguridad de la información del estándar o bien de otro conjunto de puntos de control ( 4.2). NB: en la 17799: 2005, se estipula que el estándar proporciona guías y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información, lo que significa que el estándar ISO se puede interpretar como un punto de partida. Sin embargo, ISO/IEC estipula ( 1.2) que cualquier exclusión tiene que ser justificada y que es posible añadir puntos de control (Apéndice A A.1). El estándar ISO proporciona una compilación de líneas directivas cuyo uso se recomienda encarecidamente en una organización. El estándar indica que la lista no es exhaustiva, y que se pueden requerir medidas complementarias, pero no propone ninguna metodología para la creación de un sistema completo de gestión de seguridad. Por otro lado, la guía de las mejores prácticas del estándar incluye introducciones y comentarios sobre los objetivos perseguidos, los cuales pueden ser una ayuda muy útil. NB: El estándar ISO también estipula que puede ser usado para "ayudar a construir la confianza en actividades interorganizacionales". Esto no está incluido por casualidad, y recalca un objetivo esencial de los promotores del estándar, que es la evaluación (y la certificación), de un punto de vista de seguridad de la información, de empresas asociadas y prestadoras de servicios. 5 ISO/IEC 17799:2005(E) 6 ISO/IEC Introducción a MEHARI 11

12 3.1.2 Objetivos de la ISO/IEC El objetivo claro de ISO/IEC es " proporcionar un modelo para crear y administrar un Sistema de Gestión de la Seguridad de la Información (SGSI) " y ser " usado internamente o por terceros, incluyendo las autoridades de certificación ". El objetivo de evaluación y de certificación conduce a insistir sobre los aspectos formales (la documentación y el registro de decisiones, declaración de aplicabilidad, registros, etc.) y los controles (revisiones, auditorias, etc.). El estándar requiere realizar un análisis de riesgo, examinar los riesgos a los cuales una organización se encuentra expuesta, y seleccionar las medidas apropiadas para reducir los riesgos a un nivel aceptable (párrafo 4.2.1). ISO/IEC estipula que debe utilizarse un método de análisis de riesgo, pero esto no es una parte del estándar, y no se propone ningún método específico, aparte de la integración del proceso recursivo PDCA (Plan, Do, Check, Act) del modelo definido para la creación del SGSI. Además, las recomendaciones o las mejores prácticas que pueden utilizarse para reducir el riesgo se encuentran " alineadas sobre aquellas listadas en la ISO/IEC 17799:2005". Los puntos de control adecuados están listados en los anexos. Según la ISO/IEC 27001, la evaluación del sistema de gestión de la seguridad no tiene como objetivo comprobar la calidad y la pertinencia de las decisiones sino comprobar que el sistema de gestión asegura que las decisiones tomadas están aplicadas Objetivos de MEHARI MEHARI es un conjunto coherente de herramientas y métodos para la gestión de la seguridad, basada en el análisis de riesgos. Los dos aspectos fundamentales de MEHARI son: su modelo de riesgos (cualitativo y cuantitativo) y los modelos de gestión de la seguridad basados en el análisis de riesgos que no tienen ningunos componentes equivalentes en ISO/IEC o en la ISO Comparación de los objetivos de MEHARI con los estándares ISO e ISO/IEC Los objetivos de MEHARI y los de las normas de ISO mencionadas son radicalmente diferentes. MEHARI proporciona instrumentos y métodos que pueden ser usados para escoger las medidas de seguridad más apropiadas para una organización. Esto no es en absoluto el objetivo de las normas ISO citadas aquí. Los estándares ISO proporcionan un conjunto de las mejores prácticas, que son ciertamente muy útiles, pero no necesariamente apropiadas con respecto a lo que está en juego en una organización. También sirven para juzgar la madurez en seguridad de unidades independientes internas o de empresas asociadas. El único punto en el conjunto de MEHARI que puede ser comparado con la ISO (y el Anexo A de la ISO/IEC 27001) es el manual de referencia de los servicios de seguridad de MEHARI. Esto proporciona elementos detallados que pueden ser utilizados para construir un marco de referencia de seguridad. Sobre este punto, está claro que la cobertura de MEHARI es más amplia que la de la ISO, y que cubre los aspectos esenciales de seguridad más allá de los sistemas de información. Introducción a MEHARI 12

13 3.2. Compatibilidad entre los marcos metodológicos La metodología de MEHARI es totalmente compatible con la ISO porque, mientras que la ISO no tiene los mismos objetivos indicados, es relativamente fácil representar los resultados de un análisis MEHARI con los indicadores de la ISO Los dos estándares exigen que la organización se apoye en un análisis de riesgo para definir las medidas necesarias. MEHARI cumple con esta exigencia Compatibilidad con el estándar ISO Los puntos de control estándares o las mejores prácticas de la ISO son medidas generales (conductuales o de organización), mientras que MEHARI acentúa la necesidad de medidas técnicas cuya eficacia pueda ser garantizada. Los resultados, en términos de gestión de seguridad, serán radicalmente diferentes. A pesar de estas diferencias, el diagnóstico de vulnerabilidades de MEHARI 2007 proporciona tablas para proveer indicadores correspondientes con los de la ISO 17799:2005 y utilizables para los que quieren demostrar su conformidad con el estándar ISO. Merece la pena mencionar que los cuestionarios de auditoria de MEHARI han sido organizados para realizar de manera eficiente los varios diagnósticos de vulnerabilidad con los responsables adecuados Compatibilidad con el estándar ISO MEHARI puede integrarse fácilmente en los procesos de la ISO/IEC 27001, principalmente en la fase PLAN ( 4.2.1). MEHARI cubre completamente la descripción de las actividades que permiten la creación de las bases del SGSI. Para la fase DO ( 4.2.2), que permite implementar y administrar el SGSI, MEHARI proporciona elementos útiles de partida como la creación de planes de gestión de riesgos, con prioridades dependientes directamente de la clasificación de riesgos, y medidas de progreso durante su empleo. Para la fase 'CHECK' ( 4.2.3), MEHARI proporciona los elementos que permiten la evaluación de riesgos residuales, y de las mejoras realizadas en las medidas de seguridad. Además, cualquier cambio en el entorno (los intereses implicados por la seguridad, amenazas, soluciones y organización) puede ser fácilmente reevaluado con auditorias especializadas que usan los resultados de la auditoria MEHARI inicial. Así, los planes de seguridad se pueden revisar y desarrollar con el tiempo. Para la fase 'ACT' ( 4.2.4), MEHARI implícitamente llama a controles y a la mejora continua de la seguridad; así se asegura el alcance de los objetivos de reducción de riesgo. En estas tres fases, mientras que MEHARI no está en el corazón de los procesos, contribuye enormemente a su ejecución y asegura su eficacia. Introducción a MEHARI 13

Documentos relacionados
2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback