Saltar al contenido principal

3. Análisis de riesgos de los sistemas de información

Contenidos

  • Introducción al análisis de riesgos
  • Principales tipos de vulnerabilidades, fallos de programa, programas maliciosos y su actualización permanente, así como criterios de programación segura
  • Particularidades de los distintos tipos de código malicioso
  • Principales elementos del análisis de riesgos y sus modelos de relaciones
  • Metodologías cualitativas y cuantitativas de análisis de riesgos
  • Identificación de los activos involucrados en el análisis de riesgos y su valoración
  • Identificación de las amenazas que pueden afectar a los activos identificados previamente
  • Análisis e identificación de las vulnerabilidades existentes en los sistemas de información que permitirían la materialización de amenazas, incluyendo el análisis local, análisis remoto de caja blanca y de caja negra
  • Optimización del proceso de auditoría y contraste de vulnerabilidades e informe de auditoría
  • Identificación de las medidas de salvaguarda existentes en el momento de la realización del análisis de riesgos y su efecto sobre las vulnerabilidades y amenazas
  • Establecimiento de los escenarios de riesgo entendidos como pares activo-amenaza susceptibles de materializarse
  • Determinación de la probabilidad e impacto de materialización de los escenarios
  • Establecimiento del nivel de riesgo para los distintos pares de activo y amenaza
  • Determinación por parte de la organización de los criterios de evaluación del riesgo, en función de los cuales se determina si un riesgo es aceptable o no
  • Relación de las distintas alternativas de gestión de riesgos
  • Guía para la elaboración del plan de gestión de riesgos
  • Exposición de la metodología NIST SP 800-30
  • Exposición de la metodología Magerit versión 2

INCIBE

NIST 800-30

Fecha de publicación: Septiembre 2012
Guide for Conducting Risk Assessments NIST 800-30 PDF - Inglés

Magerit Versión 3

Magerit V.3

Herramienta PILAR

https://www.pilar-tools.com/es/tools/pilar_micro/v20221/doc.html

Metodologías cualitativas y cuantitativas de análisis de riesgos

La principal distinción entre el análisis de riesgos cualitativo y cuantitativo radica en la fuente utilizada para evaluar los riesgos. El análisis de riesgos cualitativo se apoya en la percepción subjetiva o el criterio individual, mientras que el análisis de riesgos cuantitativo se fundamenta en información verificada y datos específicos.

Métodos cualitativos para la Gestión de Riesgos

El análisis de riesgo cualitativo es necesario cuando se produce un cambio en la percepción o se identifica un nuevo riesgo. Es una buena práctica que los gestores de proyectos realicen un análisis de riesgos cualitativo al inicio de cada proyecto. Dado que su realización es sencilla, rápida y económica, puede llevarse a cabo en cualquier momento del proyecto o cuando sea requerido por el director del mismo.

  • Análisis del árbol de fallos (fault tree analysis).
  • Análisis de peligros y operatividad (hazard operability analysis, HAZOP).
  • Análisis de seguridad de tareas.
  • Diagrama de Ishikawa.
  • Listas de chequeo o listas de comprobación (check list).

Métodos cuantitativos para la Gestión de Riesgos

Se debe llevar a cabo un análisis de riesgo cuantitativo cuando se cuenta con una gran cantidad de datos sobre el riesgo y su impacto, y cuando se requiere validar el análisis de riesgo cualitativo. Aunque su realización puede ser difícil y requerir tiempo, se recomienda su uso solo si la seguridad del proyecto depende de una estimación precisa del riesgo, ya que la mayoría de los directores de proyecto no lo recomiendan de manera habitual.

  • Análisis del árbol de efectos (event tree analysis).
  • Método de valoración del riesgo, de William Fine.
  • Método de valoración del riesgo, de R. Pickers.
  • Método de valoración del riesgo, de Welberg Anders.

Recursos