4.1 Structural analysis
4.1.2 Compacted ODS steels
Metodolog%as
E-isten numerosas metodologías disponible
E-isten numerosas metodologías disponibles para la s para la reali#ación de análisis de riesgos!reali#ación de análisis de riesgos! ya que es una labor
ya que es una labor que requiere de bastante dedicación y con una que requiere de bastante dedicación y con una metodologíametodología estructurada se facilita la tarea!
estructurada se facilita la tarea! sobre todo si e-iste una sobre todo si e-iste una &erramienta que simplifique&erramienta que simplifique todo el proceso.
todo el proceso.
La organi#ación debe escoger aquella que se a%uste a sus necesidades! y si
La organi#ación debe escoger aquella que se a%uste a sus necesidades! y si consideraconsidera varias opciones! inclinarse por la más sencilla. 1ay
varias opciones! inclinarse por la más sencilla. 1ay que tener en cuenta que que tener en cuenta que el análisisel análisis de riesgos debe revisarse periódicamente! por lo que
de riesgos debe revisarse periódicamente! por lo que si se &ace con una si se &ace con una metodologíametodología complicada! esta labor necesitará de
complicada! esta labor necesitará de una dedicación e-cesiva.una dedicación e-cesiva. 4 continuac
4 continuación se ión se detallarán algunas de las detallarán algunas de las metodologías más reconocidas:metodologías más reconocidas:
nálisis 9olands ;<" nálisis 9olands ;<"
Es método de análisis de
Es método de análisis de riesgos! del que &ay publicado un manual! que riesgos! del que &ay publicado un manual! que &a sido&a sido desarrollado por el inisterio de 4suntos *nternos de 1olanda! y se
desarrollado por el inisterio de 4suntos *nternos de 1olanda! y se usa en elusa en el gobierno y a
gobierno y a menudo en empresas &olandesas.menudo en empresas &olandesas.
C!MM" C!MM"
Es un método de análisis de riesgos desarrollado por el gobierno británico y Es un método de análisis de riesgos desarrollado por el gobierno británico y cuenta con una &erramienta! ya que es un método difícil de usar sin ella. Está cuenta con una &erramienta! ya que es un método difícil de usar sin ella. Está basado en la
basado en las me%ores práctics me%ores prácticas de la administracas de la administración p+blica británica! pión p+blica británica! por lo queor lo que es más adecuado para
es más adecuado para organi#aorgani#aciones grandes! tanto p+blicas ciones grandes! tanto p+blicas como privadas.como privadas.
,I#- ,I#-
Es un %uego de
Es un %uego de guías mas una &erramienta de código libre guías mas una &erramienta de código libre gratuita! enfocada agratuita! enfocada a gestores del riesgo de )*. ,esarrollada en un
gestores del riesgo de )*. ,esarrollada en un principio por el gobierno principio por el gobierno francés!francés! &a tenido una gran difusión y se usa tanto en el sector p+blico como en el
&a tenido una gran difusión y se usa tanto en el sector p+blico como en el privado no sólo
privado no sólo de rancia sino de rancia sino en otros países. Len otros países. La metodología Ea metodología E?*/2 consta?*/2 consta de un ciclo de cinco fases:
de un ciclo de cinco fases:
ase <. 4nálisis del conte-to! estudiando cuales son ase <. 4nálisis del conte-to! estudiando cuales son las dependencias delas dependencias de los procesos del negocio respecto a los
los procesos del negocio respecto a los sistemas de información.sistemas de información.
ases 5 y ;! 4nálisis de las necesidades de seguridad y de ases 5 y ;! 4nálisis de las necesidades de seguridad y de las amena#as!las amena#as! determinando los puntos de conflicto.
determinando los puntos de conflicto.
ases 6 y F! ases 6 y F! Iesolución del conflicto! estableciendo los ob%etivos deIesolución del conflicto! estableciendo los ob%etivos de seguridad necesarios y suficientes! con pruebas de su cumplimiento y seguridad necesarios y suficientes! con pruebas de su cumplimiento y de%ando claros cuales son
de%ando claros cuales son los riesgos residuales.los riesgos residuales.
I3
I3=!>(*-C?>3@ AManual de protección =!>(*-C?>3@ AManual de protección básica de 3IBbásica de 3IB
,esarrollado en 4lem
,esarrollado en 4lemania por la ania por la /ficina ederal de la /ficina ederal de la 2eguridad de la2eguridad de la *nformación "?2* en sus siglas
*nformación "?2* en sus siglas alemanas$. Este manual proporciona un métodoalemanas$. Este manual proporciona un método para establec
para establecer un 232* en cuaer un 232* en cualquier organi#alquier organi#ación! con recomción! con recomendacionesendaciones técnicas para su implantación. El proceso de seguridad de )*
técnicas para su implantación. El proceso de seguridad de )* propuesto por estapropuesto por esta metodología sigue los siguientes pasos:
metodología sigue los siguientes pasos:
*niciar el proceso.*niciar el proceso.
Establecer la organi#ación para la seguridad de )*.Establecer la organi#ación para la seguridad de )*.
roporcionar recursos.roporcionar recursos.
Crear el concepto de la Crear el concepto de la seguridad de )*.seguridad de )*.
4nálisis de la estructura de )*.4nálisis de la estructura de )*.
Evaluación de los requisitos de protección.Evaluación de los requisitos de protección.
odelado.odelado.
Comprobación de la seguridad de )*.Comprobación de la seguridad de )*.
lanificación e implantación.lanificación e implantación.
antenimiento! seguimiento y me%ora del proceso.antenimiento! seguimiento y me%ora del proceso. La metodología incluye listas de amena#as y controles de
La metodología incluye listas de amena#as y controles de seguridad que seseguridad que se pueden a%us
pueden a%ustar a las necesidatar a las necesidades de cada odes de cada organi#acrgani#ación.ión.
M,!I3 M,!I3
,esarrollado por el
,esarrollado por el inisterio de 4dministraciones +blicas espa0ol! es unainisterio de 4dministraciones +blicas espa0ol! es una metodología de análisis de riesgos que describe los
metodología de análisis de riesgos que describe los pasos para reali#ar unpasos para reali#ar un análisis del estado de riesgo y
análisis del estado de riesgo y para gestionar su mitigación! detalla las tareaspara gestionar su mitigación! detalla las tareas para llevarlo a ca
para llevarlo a cabo de manera qubo de manera que el proceso ee el proceso esté ba%o control en sté ba%o control en todo momentotodo momento y contempla aspectos prácticos para la reali#ación de de
y contempla aspectos prácticos para la reali#ación de de un análisis y unaun análisis y una gestión realmente efectivos. Cuenta con
gestión realmente efectivos. Cuenta con detallados catálogos de amena#as!detallados catálogos de amena#as! vulnerabilidades y salvaguardas. Cuenta con una
vulnerabilidades y salvaguardas. Cuenta con una &erramienta! denominada&erramienta! denominada *L4I para el análisis y la gestión de los riesgos de los sistemas de información *L4I para el análisis y la gestión de los riesgos de los sistemas de información que tiene dos versiones! una completa para grandes organi#aciones y otra
que tiene dos versiones! una completa para grandes organi#aciones y otra simplificada para las
simplificada para las peque0as.peque0as.
Manual de -eguridad de 3I ustriaco Manual de -eguridad de 3I ustriaco
onsta de dos partes! en la primera se describe el proceso de la gestión de la onsta de dos partes! en la primera se describe el proceso de la gestión de la seguridad de )*! incluyendo el análisis de riesgos y
seguridad de )*! incluyendo el análisis de riesgos y la segunda es un compendiola segunda es un compendio de 5;@ medidas de seguridad. Es conforme con la (orma *2/J*EC *2 <;;;F y de 5;@ medidas de seguridad. Es conforme con la (orma *2/J*EC *2 <;;;F y en parte con la *2/ 57@@5.
en parte con la *2/ 57@@5.
M!I#( M,?!I M!I#( M,?!I
El primigenio 4I*/( "étodo de 4nálisis de Iiesgos por
El primigenio 4I*/( "étodo de 4nálisis de Iiesgos por (iveles$! basado(iveles$! basado en una metodología de auditoría! permitía estimar el nivel de riesgos de )* de en una metodología de auditoría! permitía estimar el nivel de riesgos de )* de una organi#ació
una organi#ación. 2ustituido por n. 2ustituido por E14I*! este método de análisis de rE14I*! este método de análisis de riesgoiesgo cuenta con un modelo de evaluación de riesgos y
cuenta con un modelo de evaluación de riesgos y módulos de componentes ymódulos de componentes y procesos. Con
procesos. Con E14I* se detecE14I* se detectan vulnerabilidadtan vulnerabilidades mediante auditoríaes mediante auditorías y ses y se anali#an situaciones de riesgo
anali#an situaciones de riesgo
Mtodos I-D para la evaluación y gestión de riesgos Mtodos I-D para la evaluación y gestión de riesgos
El *nformation 2ecurity orum.
El *nformation 2ecurity orum. "*2$ es una importante asociación"*2$ es una importante asociación internacional. 2u Estándar de ?uenas rácticas es un con%unto de
internacional. 2u Estándar de ?uenas rácticas es un con%unto de principios yprincipios y ob%etivos para la seguridad de la
ob%etivos para la seguridad de la información con buenas prácticas asociadas ainformación con buenas prácticas asociadas a los mismos. El Estándar cubre la gestión de la seguridad a nivel corporativo! las los mismos. El Estándar cubre la gestión de la seguridad a nivel corporativo! las
aplicaciones críticas del negocio! las instalaciones de los sistemas de aplicaciones críticas del negocio! las instalaciones de los sistemas de información! las redes y el
información! las redes y el desarrollo de sistemas. El Estándar contiene:desarrollo de sistemas. El Estándar contiene:
*I! una metodología para el seguimiento y control del riesgo. o na*I! una metodología para el seguimiento y control del riesgo. o na &erramienta para la gestión del
&erramienta para la gestión del riesgo. o 24I4! otra metodología parariesgo. o 24I4! otra metodología para anali#ar el riesgo en
anali#ar el riesgo en sistemas críticos. o 2I*()sistemas críticos. o 2I*()! una metodología para! una metodología para &acer análisis de impacto en el
&acer análisis de impacto en el negocio y anali#ar el riesgo en negocio y anali#ar el riesgo en sistemassistemas importantes pero no críticos.
importantes pero no críticos.
24I4! otra metodología para anali#ar el 24I4! otra metodología para anali#ar el riesgo en sistemas críticos.riesgo en sistemas críticos.
na &erramienta para la gestión del na &erramienta para la gestión del riesgoriesgo
2I*()2I*()! una metodología para &acer análisis ! una metodología para &acer análisis de impacto en el negocio yde impacto en el negocio y anali#ar el riesgo en
anali#ar el riesgo en sistemas importantes pero no críticos.sistemas importantes pero no críticos.
(orma I-#EI,C I- 2.//0 (orma I-#EI,C I- 2.//0
La (orma &abla de la gestión de los riesgos de la seguridad de la información de La (orma &abla de la gestión de los riesgos de la seguridad de la información de manera genérica! utili#ando para ello el
manera genérica! utili#ando para ello el modelo ,C4! y en sus modelo ,C4! y en sus ane-os seane-os se pueden enc
pueden encontrar enfoques para ontrar enfoques para la reali#ación de la reali#ación de análisis de riesgoanálisis de riesgos! así como uns! así como un catálogo de amena#as! vulnerabilidades y técnicas para
catálogo de amena#as! vulnerabilidades y técnicas para valorarlos.valorarlos.
#C37, #C37,
"/perationally Critical
"/perationally Critical )&reat! 4sset! and Vulnerability Evaluation2)&reat! 4sset! and Vulnerability Evaluation2
"/C)4VEZ$! desarrollado en EE por el 2E*! en un una metodología para "/C)4VEZ$! desarrollado en EE por el 2E*! en un una metodología para recoger y anali#ar información de manera que
recoger y anali#ar información de manera que se pueda dise0ar una estrategia dese pueda dise0ar una estrategia de protección y pla
protección y planes de mitigación dnes de mitigación de riesgo basadoe riesgo basados en los riesgos os en los riesgos operacionalesperacionales de seguridad de la organi#ación. 1ay dos versiones! una para grandes
de seguridad de la organi#ación. 1ay dos versiones! una para grandes organi#a
organi#aciones y ciones y otra para peque0as! de otra para peque0as! de menos de <@@ menos de <@@ empleados.empleados.
-&8//='/ (I-3 !isF Management
-&8//='/ (I-3 !isF Management uide for Information 3uide for Information 3ec9nology -ystec9nology -ystemsems
,esarrollado por el (*2) estadounidense! es una guía detallada de las ,esarrollado por el (*2) estadounidense! es una guía detallada de las consideracion
consideraciones que deben &acerse para llevar es que deben &acerse para llevar a cabo una evaluación y unaa cabo una evaluación y una gestión de riesgos orientada a la