Título: «Implementación de la metodología de análisis de riesgos propuesta por NIST-SP800-30 utilizando la metodología OSSTMM”
Autor: Gastón Toth
Director: CC. Jorge Sznek
Carrera: Licenciatura en Ciencias de la Computación
Fecha de defensa: 27 de Mayo de 2014
Resumen:
Uno de los puntos más importantes dentro de la implementación de un Sistema de Gestión de la Seguridad de la Información es el análisis de riesgos. Es el proceso por el cual se determina el valor de los activos de información, la probabilidad de que una amenaza produzca un impacto negativo en alguno de los requerimientos de seguridad, tales como, confidencialidad, integridad y disponibilidad y también permite estimar las pérdidas en términos monetarios si no se implementan los controles necesarios para mitigar dichos riesgos.
Existen diferentes métodos para llevar a cabo un análisis de riesgos dentro de una organización. Diversas instituciones han desarrollado manuales de buenas prácticas, guías, metodologías y estándares para la evaluación de la seguridad de la información.
Dentro de las metodologías relacionadas con la evaluación de la seguridad se encuentra un desarrollo muy interesante llevado a cabo por ISECOM denominado OSSTMM (Open Source Security Testing Methodology Manual). Esta metodología ha sido creada por el Instituto de Seguridad y Metodologías Abiertas y una gran comunidad de colaboradores con el objetivo de encontrar un estándar a la hora de llevar a cabo la evaluación de la seguridad de la información. Varias características hacen que este manual sea el preferido de muchos profesionales como el estándar de facto. OSSTMM no es una metodología de análisis de riesgos, sino que lo es para la evaluación de la seguridad, sin tener en cuenta la subjetividad que se encuentra en la valoración de los activos y los riesgos.
En el presente trabajo se pretende lograr una metodología de análisis de riesgos basada en el estándar NIST-SP800-30 en el cual la fases de identificación de amenazas y controles sea implementada por la metodología OSSTMM. La combinación de ambas llevará a una metodología de análisis de riesgos que, preferentemente será compatible con los puntos indicados por la norma ISO/IEC 27005:2008.