Canal de Telegram

21 nov 2008

Segu-Info » » Metodologias de Analisis de Riesgos

Metodologias de Analisis de Riesgos

21 nov 2008, 11:35:00 a.m.   Comenta primero!
   
Hoy simplemente quiero hacer un repaso de las distintas metodologías específicas de análisis y/o gestión de riesgos que existen actualmente. No va a ser una lista exhaustiva, pero creo que servirá para la reflexión.

En primer lugar tenemos las normas que versan sobre el análisis de riesgos. Entre las más conocidas podemos encontrar:
  • AS/NZS 4360:2004: Norma australiana para la gestión de riesgos (en general).
  • BS7799-3:2006: Norma británica para la gestión de los riesgos de seguridad de la información.
  • ISO/IEC 27005:2008: Norma internacional sobre la gestión de los riesgos de seguridad de la información. Distinta a la anterior, aunque también sirve para dar cumplimiento a la ISO 27001.
  • UNE 71504:2008: Norma española que recoge una metodología de análisis y gestión de riesgos para los sistemas de información. No es equivalente a las anteriores, ya que esas eran para seguridad de la información.

Pero no sólo disponemos de normas de análisis de riesgos, también existen metodologías ampliamente reconocidas y de uso generalizado. Las principales son:

  • MAGERIT, metodología española de análisis y gestión de riesgos para los sistemas de información, promovida por el MAP y diferente a la UNE 71504.
  • EBIOS, metodología francesa de análisis y gestión de riesgos de seguridad de sistemas de información.
  • CRAMM, metodología de análisis y gestión de riesgos desarrollada por el CCTA inglés.
  • OCTAVE, metodología de evaluación de riesgos desarrollada por el SEI (Software Engineering Institute) de la Carnegie Mellon University.
Y no son las únicas. Para el que quiera conocer alguna más, tanto en la web de ENISA como en la web de ISO27000.es podéis encontrar más información sobre metodologías de análisis de riesgos.

En definitiva, existe una gran variedad de metodologías, muchas de ellas con reconocimiento internacional, pero lamentablemente todas distintas. Es cierto que, como metodologías de análisis de riesgos que son, todas se parecen, pero no se puede decir que sean compatibles de entrada. Cada una tiene sus particularidades, sus puntos fuertes... y será trabajo de quien quiera utilizarlas el saber sacar lo mejor de cada una de ellas.

Fuente: http://secugest.blogspot.com/2008/11/metodologias-de-analisis-de-riesgos.html

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!