Prezi

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in the manual

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

MEHARI

Trabajo Práctico Grupo Nº 2
by Esteban Gizzi on 12 October 2012

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of MEHARI

MEHARI
Grupo Nº2 Método de Análisis de Riesgo Armonizado Es un conjunto de herramientas y funcionalidades
metodológicas, utilizadas para la gestión de la
seguridad y de las medidas asociadas, basado
en un análisis de riesgos preciso.
MEHARI proporciona un conjunto de enfoques
y herramientas que permiten realizar un análisis
de riegos cuando es necesario. MEHARI El principal objetivo es proporcionar un método para la evaluación y gestión de riesgos, proporcionando el conjunto de
herramientas y elementos necesarios para su
implementación.

Pero además.... ¿Por qué fue creado? • Nos proporciona un análisis directo e individual de situaciones de riesgos descritas en los escenarios.

• Nos proporciona un conjunto de herramientas específicamente diseñadas para la gestión de la seguridad a corto, mediano y largo plazo.

• Se adapta a diferentes niveles de madurez y tipos de acciones.
El principal fundamento de MEHARI es que las herramientas requeridas en cada fase del desarrollo de la seguridad, deben ser consistentes. Y cada resultado obtenido en una fase, debe poder ser reutilizado por otras herramientas o en otro lugar de la organización. Los fundamentos principales son: ¿Por qué utilizar MEHARI? La necesidad puede ser, en función de la organización:

•Un método permanente de trabajo.

•Un método de trabajo utilizado en paralelo junto a otras prácticas de gestión de la seguridad.

•Un método de trabajo utilizado de forma ocasional para complementar otras prácticas regulares.
Los aspectos fundamentales de MEHARI son:

• Su modelo de riesgos (cualitativo y cuantitativo).

• El examen de la eficacia de las medidas de seguridad en vigor o previstas.

• La capacidad para evaluar y simular los niveles de riesgo derivados de las medidas adicionales. Aspectos de MEHARI El mérito principal de MEHARI es que las
diferentes herramientas y métodos de ésta
metodología se pueden utilizar de forma
separada unas de otras en cualquier etapa
del desarrollo de la seguridad, utilizando
diferentes enfoques de gestión y garantizando
la consistencia de las decisiones resultantes. Mediante cuestionarios de control de seguridad, lo que
permite evaluar el nivel de calidad de los mecanismos y
soluciones utilizadas para la reducción del riesgo.
Dicha evaluación la realiza mediante su base de datos
de conocimientos, lo que permite evaluar el nivel de
la calidad de las medidas de seguridad. ¿Cómo evalúa la seguridad MEHARI? El enfoque que proporciona MEHARI, proviene de una base de datos de conocimientos y de procedimientos automatizados para evaluar los factores que caracterizan cada uno de los riesgos y su nivel.

Para evaluar el riesgo propone dos opciones: Enfoques que proporciona MEHARI Utilizar una serie de funciones de la base de datos de conocimiento de MEHARI, que permiten integrar los resultados de los módulos de MEHARI. Desde estas funciones se puede evaluar el nivel actual de riesgo y proponer medidas para su reducción. 1 Emplear una aplicación software que proporcione una interfaz más completa que permita simulaciones, visualizaciones y más optimizaciones. 2 MEHARI no se limita al dominio IT. También cubre los sistemas de información, así como la protección del sitio en general, el entorno de trabajo y aspectos legales y regulatorios. Dominios que cubre MEHARI El módulo de análisis de amenazas de MEHARI proporciona dos tipos de resultados, los cuales son: Resultados que brinda MEHARI Identifica posibles eventos potenciales en los procesos operacionales de la empresa. Sus resultados son:

o La descripción de los posibles tipos de mal funcionamientos.

o La definición de parámetros que influyen en cada mal funcionamiento.

o Una evaluación de los umbrales críticos de dichos parámetros que cambian el nivel de gravedad del mal funcionamiento. Escala de valores de mal funcionamientos Consiste en la definición, para cada tipo de información y activo, y para cada criterio de clasificación (Disponibilidad, Integridad y Confidencialidad), de los indicadores que representan la gravedad de impacto o pérdida de la información o activo. Clasificando la información y los activos IT El enfoque de MEHARI es complementario a la ISO 27002.

También responde a las necesidades, expresadas en las normas ISO 27001 y 27002, para un análisis de riesgos que permita definir las medidas que deben ser implementadas. Compatibilidad entre enfoques MEHARI tiene como objetivo proporcionar herramientas y métodos que se pueden utilizar para seleccionar las medidas de seguridad más adecuadas para una organización, y para evaluar los riesgos residuales una vez que estas medidas están implementadas. Aunque difieren en ciertos objetivos Las normas ISO proporcionan un conjunto de mejores prácticas útiles, pero no necesariamente apropiadas para lo que está en juego en la organización. ¿Cómo es el proceso de implementación del Análisis de Riesgo de MEHARI? Ventaja de utilizar MEHARI ¿ A quiénes está dirigido ? Este método esta pensado para profesionales IT y para los gerentes y dueños de negocios. Actualmente es posible hacer un curso para obtener la certificación en el método. Quienes posean la certificación, podrán aplicar la metodología en la empresa con mayor entendimiento y resultará en un mejor evaluación de los riesgos. ¿ Qué cosas tenemos a disposición para poder trabajar con el método ? MEHARI incluye, directamente en las bases de conocimiento, las fórmulas para la evaluación directa de los riesgos y selección de las maneras de reducirlos. Las bases de conocimiento están disponibles como un libro (para Excel u Open Office), capaz de llevar a cabo la calificación y cuantificación de todos los elementos del riesgo. RISICARE v. 2 Una vista de la versión 2010 Las celdas tienen funciones específicas para operar con los datos ingresados Pestañas por las que accedemos a las diferentes opciones ¿Que es MEHARI? o_O ¿Un Vehículo? ¿Un Nombre Árabe? Uno de los distintos cuestionarios Tabla con los escenarios de riesgo ordenados por su tipo y la seriedad que tengan. De acuerdo a los valores introducidos en tablas como la anterior.. MEHARI sugiere planes de accion MEHARI 1 2
See the full transcript