viernes, 22 de octubre de 2004

Metodología para el análisis y la gestión de riesgos en seguridad de los sistemas de información de Microsoft

El día 15 de octubre salió a la luz Overview of the Security Risk Management Guide. Vía Jerry's Security Weblog me entero de la publicación de la documentación completa de la metodología y la elaboración de los modelos de entrevista y hojas Excel para la generación de los cálculos.
Los conceptos básicos de todas las metodologías son comunes y las fases también. Siempre consisten en:
- Identificar activos (Assets)
- Identificar amenazas (Threats)
- Estimar la vulnerabilidad de cada amenaza sobre cada activo (Vulnerability)
- Estimar el impacto de esa amenaza sobre el activo (Impact)
- Calcular el riesgo (Risk)

Los análisis de riesgos pueden ser cualitativos, cuando el riesgo se mide en niveles discretos (Alto, medio, bajo) o cuantitativos (Cuando el resultado final es una cantidad monetaria).

MAGERIT realiza análisis de riesgos de forma cuantitativa, midiendose el riesgo en cantidad monetaria que podría ser el coste de la inseguridad.

Lo importante al final del análisis de riesgos es encontrar las medidas de seguridad que mejor proteger nuestros activos. La granularidad del estudio (Nivel de detalle en la identificación de activos) mejorará el nivel de precisión de la medición del riesgo.
 
;