Loading presentation...
Prezi is an interactive zooming presentation

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

COMPARACION ISO 27002 - Análisis de Riesgos Magerit y octave

Integrantes: Pedro Ballestas, Alejandro Blanco, Sergio Vergara
by

ucc sistemas

on 27 May 2016

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of COMPARACION ISO 27002 - Análisis de Riesgos Magerit y octave

CONCLUSIONES
La ISO 27002:2013 tiene menos controles en cantidad y en método hay menos controles tecnológicos, adicionalmente se cuentan con políticas de control mas claras y especificas para unas buenas prácticas para la gestión de seguridad de la información.

Respecto a las metodologías de análisis de riesgos, magerit y octave son métodos, que aunque son diferentes tienen el objetivo de identificar y mitigar los posibles riesgos que se pueden presentar.

Si bien ISO 27005 e ISO 31000 son los estándares más conocidos para la gestión de riesgos, existen otros instrumentos que estando alienados con estos estándares y que facilitan a una empresa enfocarse en implementar herramientas y metodologías que satisfagan los requerimientos básicos de la administración de riesgos en sus sistemas de información.
Comparación Iso 27002:2005 27002:2013
Análisis de Riesgo
MAGERIT - OCTAVE

ISO 27002:2005
* 11 DOMINIOS
* 39 OBJETOS DE
CONTROL
* 133 CONTROLES
* 21 CONTROLES
BORRADOS
* 14 DOMINIOS
* 35 OBJETOS DE
CONTROL
* 111 CONTROLES
* 14 NUEVOS CONTROLES
* VARIOS CONTROLES
FUSIONADOS
ISO 27002:2013
ISO 27002:2005
CONTROLES ELIMINADOS
6 .1.2 Coordinador de seguridad de la información
10.4.2 Control de código móvil
11.4.2 Autenticación de usuarios en las conexiones externas
11.4.4 Diagnostico remoto y protección de la configuración de los puertos
11.4.6 Control de las conexiones de las redes
12.2.2 Control en el procesamiento interno
ISO 27002:2013
CONTROLES NUEVOS
6.1.5 Seguridad de la información en la gestión de proyectos
12.6.2 Restricciones en la instalación de software
14.2.5 Principios en Ingeniería de seguridad de los sistemas
14.2.8 Prueba de la seguridad de los sistemas
17.1.2 Implementar la continuidad de la seguridad de la información
15.1.3 Tecnología de información y comunicación en la cadena de suministro
La seguridad informática es una disciplina de la informática que se encarga de proteger los objetivos básicos de la seguridad brindando a través políticas, métodos, estándares, etc., que debería ser implementados además de los conocimientos para proteger nuestros entornos informáticos y hacerlos más seguros.
Seguridad Informática
METODOLOGÍAS PARA ANÁLISIS DE RIESGO.
El análisis de riesgo es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Metodología OCTAVE
(Operationally Critical Threat, Asset, and Vulnerability Evaluation)

(Amenaza de vista operativo crítico, activo, y la vulnerabilidad de Evaluación) se encuentra disponible gratuitamente (en inglés) y es un conjunto de herramientas, técnicas y métodos para desarrollar análisis de riesgos basados en gestión y la planeación estratégica de la organización. Son todas las acciones que necesitan ser llevadas a cabo dentro de la organización para realizar la gestión de activos, conocer posibles amenazas y evaluar vulnerabilidades.
ISO/IEC 27002
Es código de buenas prácticas dentro del conjunto de normas para la gestión de seguridad de la información. Fue publicada en julio de 2005 como ISO 17799:2005 y recibió su nombre oficial ISO/IEC 27002:2005 el 1 de julio de 2007. Posteriormente se publica la ISO 27002:2013. En esta nueva versión de la norma se encuentran los controles que buscan mitigar el impacto o la posibilidad de ocurrencia de los diferentes riesgos a los cuales se encuentra expuesta la organización.
Diferencias Entre Versiones de la ISO 27002
Metodología MAGERIT
Magerit es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión.

La razón de ser de Magerit está directamente relacionada con la generalización del uso de las tecnologías de la información, que supone unos beneficios evidentes para los usuarios; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.

Interesa a todos aquellos que trabajan con información digital y sistemas informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, Magerit les permitirá saber cuánto valor está en juego y les ayudará a protegerlo.

Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con Magerit se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

COMPARATIVA OCTAVE - MAGERIT
OCTAVE
-Es una técnica de Planificación y consultoría estratégica en seguridad basada en el riesgo.

-Maneja tres métodos: auto-dirigido, flexibles y evolucionado.
MAGERIT
-Se enfatiza en dividir los activos de la organización en variados grupos, para identificar más riesgos y poder tomar contra medidas para evitar así cualquier inconveniente.

-Ofrece un método sistemático para analizar tales riesgos.

OCTAVE
-Desmitifica la falsa creencia: La Seguridad Informática es un asunto meramente técnico.

-Presenta los principios básicos y la estructura de las mejores prácticas internacionales que guían los asuntos no técnicos

MAGERIT
-Ayuda a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.

-Prepara a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.
MAGERIT
-Concientiza a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.

-Genera el uso de las tecnologías de la información.
OCTAVE
-Divide los activos en dos tipos: sistemas, (Hardware. Software y Datos) y personas.

-Se especializa en el riesgo organizacional y el foco son los temas relativos a la estrategia y la practica.

MAGERIT
-Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre el sistema.

-Relación de las amenazas a que están expuestos los activos.

OCTAVE
-Consolidación de la información y creación de perfiles de amenazas.

-Identifica los elementos críticos y las amenazas para los activos.

MAGERIT
-Conjunto de programas de seguridad que permiten materializar las decisiones de gestión de riesgos.

-Caracterización del valor que representan los activos para la Organización así como de las dependencias entre los diferentes activos.
OCTAVE
-Identifican las vulnerabilidades tanto organizativas como tecnológicas que exponen a las amenazas creando un riesgo a la organización.

-Desarrollar una estrategia de protección basada en la práctica así como planes de migración de riesgos para mantener la misión y prioridades de la organización.

Webgrafía
La nueva versión ISO 27001:2013, Un cambio en la integración de los sistemas de gestión. Manuel Collazos Balaguer
Metodologias de Analisis de Riesgos: “MAGERIT y OCTAVE”, 2010. https://seguridadenlasredes.wordpress.com/2010/08/12/metodologias-de-analisis-de-riesgos-magerit-y-octave/
METODOLOGÍAS PARA ANÁLISIS DE RIESGO. https://es.scribd.com/doc/93164752/Tabla-Comparativa-Metodologia#download
INTEGRANTES:
Pedro Ballestas
Alejandro Blanco
Sergio Vergara

Electiva de profundización I, UCC
Docente: Ivan Mendez

¿Elegir entre magerit y octave?
Aunque ambas metodologías buscan identificar y mitigar los posibles riesgos de seguridad que pueden darse en la empresa. Se recomienda utilizar MAGERIT, ya que, es muy útil para aquellas empresas que inicien con la gestión de la seguridad de la información, pues permite enfocar los esfuerzos en los riesgos que pueden resultar más críticos para una empresa, es decir, aquellos relacionados con los sistemas de información. Lo interesante es que al estar alineado con los estándares de ISO es que su implementación se convierte en el punto de partida para una certificación o para mejorar los sistemas de gestión.
Esto no significa que OCTAVE no sea una metodología util, solo que OCTAVE es muy resumida en cuanto a la identificación de los activos de la Organización y no los clasifica demasiado en cambio MAGERIT, es muy sutil en el momento de clasificar los Activos de la Organización y describe métodos muy útiles y prácticos para realizar el análisis de los riesgos, sin mencionar la infinidad de documentación que hay en Internet.
Full transcript