METODOLOGIAS DE LA SEGURIDAD INFORMATICA Integrantes: Doris Mera Liliana Arteaga Carlos Villamarin Roberth Sosa

Transcripción

1 METODOLOGIAS DE LA SEGURIDAD INFORMATICA Integrantes: Doris Mera Liliana Arteaga Carlos Villamarin Roberth Sosa

2 Introducción DORIS La seguridad informática es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta (incluyendo la información contenida).

3 Metodología DORIS La metodología de la seguridad es una disciplina que permite a través de pasos, modelos, etc. seguirlos para con su ayuda por medio de una auditoria tratando de evitar los riesgos, amenazas brindando de esta manera una manera de asegurar los entornos.

4 Diferentes Metodologías DORIS MAGERIT NIST SP NV CORAS OCTAVE

5 Metodología MAGERIT (Metodología de Análisis y Gestión de Riesgos de IT) DORIS Es una metodología que se esfuerza por enfatizarse en dividir los activos de la organización en variados grupos, para identificar más riesgos y poder tomar contramedidas para evitar así cualquier inconveniente.

6 Directos Objetivos DORIS Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo. Ofrecer un método sistemático para analizar tales riesgos Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control

7 Objetivos LILIANA Indirectos Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso..

8 Submodelo de elementos Submodelos LILIANA Es este submodelo se clasifican 6 elementos básicos que son: activos, amenazas, vulnerabilidades, impacto, riesgo, salvaguarda. Submodelo de eventos Aquí se clasifican los elementos anteriores en tres formas: dinámico físico, dinámico organizativo y estático. Submodelo de procesos Se definen en 4 etapas: análisis de riesgo, planificación, gestion de riesgo y selección de salvaguardas.

9 Volumen I - Método Es el volumen principal en el que se explica detalladamente la metodología Volúmenes Volumen III Guía de técnicas Complementa el volumen principal proporcionando una introducción de algunas de técnicas a utilizar en las distintas fases del análisis de riesgos. LILIANA Volumen II Catalogo de elementos Complementa el volumen principal proporcionando diversos inventarios de utilidad en la aplicación de la metodología.

10 Volumen III Guía de técnicas LILIANA LAS TECNICAS QUE RECOGEN SON: Análisis mediante tablas Análisis algorítmico Árboles de ataque Técnicas generales o Análisis coste-beneficio Diagramas de flujo de datos (DFD) Diagramas de procesos Técnicas gráficas Planificación de proyectos Sesiones de trabajo: entrevistas, reuniones y presentaciones Valoración Delphi

11 ROBERTH Metodología CORAS (Construct a platform for Risk Analysis of Security critical system) Construir una plataforma para el análisis de riesgos del sistema de seguridad crítica Desarrollado a partir de 2001 por SINTEF, un grupo de investigación noruego financiado por organizaciones del sector público y privado.

12 Proporciona: ROBERTH Una metodología de análisis de riesgos basado en la elaboración de modelos, que consta de siete pasos, basados fundamentalmente en entrevistas con los expertos. Un lenguaje gráfico basado en UML Un editor gráfico para soportar la elaboración de los modelos, basado en Microsoft Visio. Una biblioteca de casos reutilizables. Una herramienta de gestión de casos, que permite su gestión y reutilización.

13 PASOS ROBERTH Presentación: Reunión inicial, para presentar los objetivos y el alcance del análisis y recabar información inicial. Análisis de alto nivel: Entrevistas para verificar la comprensión de la información obtenida y la documentación analizada. Se identifican amenazas, vulnerabilidades, escenarios e incidentes. Aprobación: Descripción detallada de los objetivos, alcance y consideraciones, para su aprobación por parte del destinatario del análisis de riesgos. Identificación de riesgos: Identificación detallada de amenazas, vulnerabilidades, escenarios e incidentes. Estimación de riesgo: Estimación de probabilidades e impactos de los incidentes identificados en el paso anterior. Evaluación de riesgo: Emisión del informe de riesgos, para su ajuste fino y correcciones. Tratamiento del riesgo: Identificación de las salvaguardas necesarias, y realización de análisis coste/beneficio.

14 Metodología NIST SP (National Institute of Standards and Technology) ROBERTH Esta serie incluye una metodología para el análisis y gestión de riesgos de seguridad de la información, alineada y complementaria con el resto de documentos de la serie.

15 P R O C E S O VILLA D E G E S T I O N

16 VILLA 9 pasos básicos para el análisis de riesgo: Caracterización del sistema. Identificación de amenazas. Identificación de vulnerabilidades. Control de análisis. Determinación del riesgo. Análisis de impacto. Determinación del riesgo. Recomendaciones de control. Resultado de la implementación o documentación.

17 VILLA Metodología OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) Es un método de evaluación y de gestión de los riesgos para garantizar la seguridad del sistema informativo, desarrollado por el estándar internacional ISO

18 OBJETIVOS VILLA Desmitificar la falsa creencia: La Seguridad Informática es un asunto meramente técnico Presentar los principios básicos y la estructura de las mejores prácticas internacionales que guían los asuntos no técnicos.

19 FASES VILLA

20