Evaluación de seguridad vs. Análisis de riesgos

4

¿Cuál es la diferencia real entre la evaluación de seguridad de TI basada en ISO 27001 (o en general, otra norma internacional) y el análisis de riesgo cualitativo?

De alguna manera, el enfoque es muy similar: entorno, pregunta hacia el propietario del proceso, análisis de brechas y resultado final (dónde se encuentra y dónde debería estar)

    
pregunta emc2 06.10.2012 - 11:25
fuente

3 respuestas

2

En el ámbito de la seguridad de TI, el análisis de riesgo cuantitativo se realiza mediante el desarrollo de un modelo matemático riguroso para representar la definición deseada del riesgo o algún aspecto del riesgo. La seguridad (de una red, por ejemplo) se evalúa utilizando el modelo desarrollado.

Un ejemplo de este enfoque es el análisis de riesgo de las redes empresariales que utilizan el análisis cuantitativo de los gráficos de ataque.

    
respondido por el hsnm 06.10.2012 - 14:37
fuente
5

Una evaluación de seguridad de TI es un tipo de evaluación de riesgos. Aquí está el proceso habitual:

  1. Identifique el alcance de la evaluación y los activos de información que son importantes para el objetivo.
  2. Realice un análisis de la seguridad técnica del objetivo, por ejemplo. A través de ataques de red, penetración física, etc.
  3. Si está dentro del alcance, realice un análisis de las políticas de seguridad que tiene actualmente el objetivo.
  4. Si está dentro del alcance, realice un análisis de la seguridad humana del objetivo, por ejemplo. a través de la ingeniería social.
  5. Compile los resultados de estos análisis en un informe, utilizando un marco de categorización de riesgos adecuado.

Esto no es de ninguna manera exhaustivo, y el orden de las tres tareas internas es arbitrario.

La diferencia entre una evaluación de riesgos genérica y una evaluación de riesgos de TI es que esta última no es algo que realmente se pueda calificar, es como preguntar acerca de la diferencia entre una fruta y una manzana.

Si está considerando las normas ISO27000 específicamente, estas son solo una manera de hacer cumplir y estandarizar un código de práctica en particular y un conjunto de tareas de análisis, para demostrar que una organización ha realizado una evaluación de riesgos de seguridad a un nivel particular . No cambian el marco básico de una evaluación de riesgos, solo le dan un conjunto de mínimos que debe realizar.

    
respondido por el Polynomial 06.10.2012 - 12:00
fuente
3

Primero, debe saber que la familia de estándares ISO27000 no es específica sobre TI. Dependiendo del alcance que defina al principio, su análisis de riesgo también podría cubrir varias actividades de su empresa. Por supuesto, como la atención se centra en la administración de la seguridad de su información, existen muchos controles recomendados que se refieren a TI.

Dicho esto, la norma dice que debe realizar un análisis de riesgo en sus activos, pero dice muy poco sobre cómo debe hacerlo. La metodología es algo que eres libre de definirte. La mayoría de las veces, no querrá reinventar la rueda y usar alguna metodología conocida, pero la elección es suya. Por lo general, se trata de identificar sus activos y su valor para usted, luego las diversas amenazas a estos activos y las vulnerabilidades que estas amenazas podrían explotar.

Por lo tanto, realmente no puede comparar el análisis de riesgos realizado en el proceso de establecer su SGSI (según ISO27001) con un tipo particular de análisis de riesgos. Si lo desea, es como si preguntara cuál es la diferencia entre construir una pared y una mampostería de ladrillo.

Sin embargo, lo que dice de manera estándar es que su análisis de riesgo debe ser reproducible, por lo que debería dar los mismos resultados si se realiza, por ejemplo, por dos personas diferentes. En ese sentido, cuanto más precisa sea su metodología, mejor.

    
respondido por el Joubarc 12.04.2013 - 20:55
fuente

Lea otras preguntas en las etiquetas