Professional Documents
Culture Documents
LAS HERRAMIENTAS DE CONTROL, son elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control
Metodologas cuantitativas :
Basadas en FIPS 65 Mtodo de IBM : basado en tcnica de DELPHI = consenso de expertos para determinar los costos. RISKCALC BDSS Metodologas cualitativas:
LAVA: Los Alamos Vulnerability/ Risk Assessment RISKPAC No se tiene en cuenta la frecuencia para valorar los riesgos. MARION La tabla muestra un claro ejemplo donde se emplea una matriz impacto/posibilidad de ocurrencia de una amenaza para CRAMM
Probabilidad de ocurrencia
determinar el nivel de riesgo que se tiene. "Aqu el riesgo indica las prdidas ante la posibilidad de presentarse la amenaza
Mtodo cuantitativo basado en una encuesta anual al CLUSIF(base de Incidentes francesa) * No contempla probabilidades. * Contempla esperanzas matemticas (aprox. numricas)
Comprende seis etapas: 1. Identificar los incidentes e impactos sobre el SI. 2. Decidir la perdida mxima aceptable y por lo tanto los incidentes a cubrir. 3. Estimar la calidad de medidas de seguridad existentes (a partir de una lista cuestionario), identificando vulnerabilidades y contra-medidas a implementar. 4. Identificar los factores financieros que dificulten la implementacin de las contra-medidas. 5. Producir una lista priorizada de contra-medidas 6. Desarrollar un plan de accin. Presenta resultados en forma grfica, tabular y provee un gestionador del proyecto de seguridad.
Utiliza cuestionarios para valorar la seguridad (SI=4,NO=0,No_aplicable=3). Parmetros correlacionados (representan graf. Distintas soluciones de contramedidas) en cada uno de los factores(27 en 6 categoras) categora de factores 1. Seguridad informtica general 2. Factores socioeconmicos 3. Concienciacin sobre la seguridad de soft 4. Concienciacin sobre la seguridad de materiales. 5. Seguridad en explotacin. 6. Seguridad en desarrollo.
El anlisis de riesgo lo hace bajo 10 reas problemas: Riesgos materiales Sabotajes fsicos Averas Comunicaciones. Errores de desarrollo Errores de explotacin Fraude Robo de informacin Robo de software Problemas de personal.
Nota: - Las prdidas posibles no deben nunca sobrepasar el VALOR DE RIESGO MAXIMO ADMISIBLE
Valor dado por un estudio del banco de Francia para las distintas reas sectoriales
Metodologa aplicada en
Herramientas de software
Profile Analysis Corporation con DATAPRO(1994) enfoque cualitativa subjetiva resultados exportables a procesadores de texto BD. Hojas de clculo sistemas grficos
Ponderacin
valoracin de contramedidas
Informe final