Entrevista

Esta entrada se trata de una entrevista acerca de seguridad informática donde se tratan temas de como cuales son las normas y técnicas para hacer una análisis, o cuales son las diferentes metodologías que se pueden hacer esta entrevista se le hizo a una persona que se desempeña en el área de seguridad.

Espero que les guste.

Gráfica

Análisis de riesgo los métodos para la identificación, análisis y evaluación de riesgos hay herramientas que nos permiten hacer el análisis nos muestra las causas y consecuencias que tiene el activo con el fin de eliminar o atenuar los riegos.

Esta grafica fue hecha con un análisis manual se hizo mirando cuales eran los activos más importantes que tenia la empresa y los posibles riesgos que podían tener, preguntando cual asido las fallas que atenido cada activo y la probabilidad que ocurriera otra vez.

Los objetivos principales son:

• Identificar los activos en riesgos
• Deducir los posibles accidentes que se pueden producir
• Determinar las consecuencias
• Analizar las causas de los accidentes
• Definir las medidas a seguir
• Y cumplir los requisitos y las normas que se deben llevar

En la gráfica nos muestra los porcentajes de riesgos que pueden tener una los activos de una empresa esta gráfica se saco dándole un valor a cada activo y dando un valor a los puntos anteriores esto fue todo espero que le guste.

Ensayo

En este ensayo estoy argumentando porque es necesario incluir los resultados de un análisis de vulnerabilidades en el informe final de un análisis de riesgos.

Metodologías De Riesgo

En esta entrada hablaremos de las diferentes metodologías de riesgo, que constan de documentos, que contienen los conceptos necesarios, que nos explica los pasos que debemos llevar acabo para empezar realizar un levantamiento. Algunas de estas contienen (plantillas, matrices, tableros, y reportes que se pueden utilizar como base).

Octave (Operationally Critical Threat, Asset, and Vulnerability Evaluation) esta se encuentra disponible gratuitamente (en Inglés) esta se trata de un conjunto de herramientas, técnicas y métodos para la seguridad de la información y estrategias basadas en la evaluación de riesgos y de planificación.

Características y beneficios de los métodos octave

Autodirigido: (pequeños equipos de personal de la organización)

Flexibles: todos los métodos se pueden adaptar a la organización única del entorno de riesgo

Evolucionando: el riego operativo de seguridad y tecnología de direccionamiento en un contexto de negocio.

MEHARI

Es una contribución importante del CLUSIF en la gestión de riesgo relacionado con la información. Con un entorno a un (amplio conjunto de módulos, herramientas y cuestionario.) MEHERI se distribuye bajo principios abiertos.

MEHERI 2010 este responde a la norma (ISO/IEC 27005:2008 directrices para la gestión de riesgos) que nos permite mayor control para la conformidad de la organizaciones para un proceso de ISO SGSI( El estándar para la seguridad de la información fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información). Incluye, directamente en la base de conocimientos, las formulas del método para la evolución directa del riesgo y para la valoración de la formas de tratar y reducirlos.

Mehari CLUSIF este método fue diseñado para los profesionales en este ámbito. ( MEHARI 2010 base de conocimientos y la documentación son proporcionadas por CLUSIF en frases y en ingles, traducción a otros idiomas también están disponibles gracias a las contribuciones voluntarias).

CALLIO Secura, es todo en una solución, es un software multilingüe que se encarga de realizar la ejecución y cumplimiento, certificación y auditoria de proceso es mucho más fácil.

Este es una software para expertos, este está disponible en (Inglés, francés, español y chino tradicional) este la guía atreves de los pasos que conducen a norma ISO 27001/17799 (ISO 27001, titulado "Seguridad de la Información de Gestión - Requisitos con orientación para su uso", es la sustitución del documento original, BS7799-2. Su objetivo es sentar las bases para la auditoria de terceros, y es “armonizar” las normas de gestión El objetivo básico de la norma es ayudar a establecer y mantener un sistema de información de gestión eficaz, utilizando un enfoque de mejora continua. Implementar la OCDE (organización para la cooperación y desarrollo económicos principios, que rigen la seguridad de los sistemas de información y de la red). Sus muchas funcionalidades lo convierten en una herramienta indispensable por su interfaz de uso fácil, y su flexibilidad. Para la gestión de seguridad de la información.

Con la versión 2 de este multi-usuario de la aplicación web, capaz de (implementar, desarrollar, gestionar y certificar su sistema de gestión de seguridad de la información). De acuerdo con la norma también será capaz de hacer auditorias de otras normas, tales como (COBIT, HIPAA y sarbanes-oxaley) mediante la importación de sus propios cuestionarios.

Callio secura le permite hacer una seguridad completa de la gestión de la información, aquí veremos una visión general de lo que nos permite hacer callio.

• Compruebe su nivel de cumplimiento con la norma ISO 27001 / 17799
• Compilar un inventario de los activos más importantes
• Un análisis de la deficiencias completa
• Definir la estructura y procesos dentro de su SGSI
• Mitigar los riesgos para cada activo
• Definir los escenarios para las aplicaciones de los controles
• Proyecto de las políticas de seguridad
• Administrar documentos de políticas
• Le ayuda a decidir donde destinar los presupuestos
• Aprobar o revocar los documentos pendientes de aprobación de aprobación
• Personaliza tu cuestionarios
• Y mucho mas.

Callio es con costo

Se debe tener en cuenta que estas se metodologías se pueden implementar en cualquier organización, cada una deberá realizar una análisis pormenorizado para mirar cual se adata mas a la organización.