Metodologias de Analisis de Riesgos
En primer lugar tenemos las normas que versan sobre el análisis de riesgos. Entre las más conocidas podemos encontrar:
- AS/NZS 4360:2004: Norma australiana para la gestión de riesgos (en general).
- BS7799-3:2006: Norma británica para la gestión de los riesgos de seguridad de la información.
- ISO/IEC 27005:2008: Norma internacional sobre la gestión de los riesgos de seguridad de la información. Distinta a la anterior, aunque también sirve para dar cumplimiento a la ISO 27001.
- UNE 71504:2008: Norma española que recoge una metodología de análisis y gestión de riesgos para los sistemas de información. No es equivalente a las anteriores, ya que esas eran para seguridad de la información.
Pero no sólo disponemos de normas de análisis de riesgos, también existen metodologías ampliamente reconocidas y de uso generalizado. Las principales son:
- MAGERIT, metodología española de análisis y gestión de riesgos para los sistemas de información, promovida por el MAP y diferente a la UNE 71504.
- EBIOS, metodología francesa de análisis y gestión de riesgos de seguridad de sistemas de información.
- CRAMM, metodología de análisis y gestión de riesgos desarrollada por el CCTA inglés.
- OCTAVE, metodología de evaluación de riesgos desarrollada por el SEI (Software Engineering Institute) de la Carnegie Mellon University.
En definitiva, existe una gran variedad de metodologías, muchas de ellas con reconocimiento internacional, pero lamentablemente todas distintas. Es cierto que, como metodologías de análisis de riesgos que son, todas se parecen, pero no se puede decir que sean compatibles de entrada. Cada una tiene sus particularidades, sus puntos fuertes... y será trabajo de quien quiera utilizarlas el saber sacar lo mejor de cada una de ellas.
Fuente: http://secugest.blogspot.com/2008/11/metodologias-de-analisis-de-riesgos.html
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!