Metodología Mehari para el análisis de Riesgos en SGSI
Metodología Mehari
Originalmente esta metodología fue desarrollada por la comisión de Clusif en 1996, se utiliza para apoyar a las personas responsables de la seguridad informática de una organización a través de un exhaustivo análisis de los factores principales de riesgos. El método de evaluación se realiza de forma cuantitativa de acuerdo a la situación de la organización donde se necesita el análisis, esto se realiza mediante una política de seguridad y mantenimiento de los riesgos a un nivel ya establecido.
MEHARI plantea un módulo el cual nos permita analizar los intereses implicados por la seguridad y un método de análisis de riesgos con herramientas de apoyo. Con estos dos factores identificados la organización puede evaluar de una manera exitosa cuáles son los principales riesgos potenciales.
Apartados de la Metodología MEHARI
Diagnóstico de seguridad
Para la realización del análisis de riesgos se proponen dos módulos: módulo rápido y módulo detallado.
El objetivo de ambos casos es evaluar qué nivel de seguridad tiene la organización. La diferencia radica en el nivel de profundidad de la evaluación, siento el módulo rápido menos preciso que el módulo detallado con un nivel superior de fiabilidad.
En la primera evaluación se identifican las principales debilidades de la organización, haciendo uso del módulo rápido. En cambio, en el módulo detallado se recogen todas las posibles debilidades de cada uno de los servicios de seguridad que cuenta la organización. Con dicho análisis se elabora una base muy completa, que posteriormente podemos usar para el análisis de riesgos.
En este método se pueden combinar ambos módulos, comenzando por el rápido para conocer cuales son las debilidades y posteriormente profundizar los mismo con el módulo detallado.
Cada uno de ellos se pueden utilizar de formas diferentes:
- Diagnóstico de seguridad
La realización del diagnóstico es la base principal que asegura la reducción de los riesgos dentro de la misma.
- Planes de seguridad basados en diagnósticos de vulnerabilidad
Para gestionar la seguridad de una empresa de una forma correcta es necesario establecer planes de acción en función al resultado de la evaluación del estado de los servicios de seguridad.
- Dominios cubiertos por el módulo de diagnóstico.
El método MEHARI también cubre aquellos riesgos no aceptables identificando todas las situaciones de riesgo que pueden darse dentro de una organización.
Esta metodología incluye en el análisis de los sistemas de información, las organización en general, el entorno de trabajo y además los aspectos legales y reglamentarios.
- Síntesis sobre los módulos de diagnóstico.
Con el uso de estos módulos se ofrece una vista más amplia y relacionada con la seguridad, utilizando progresivamente conforme a la madurez de la organización donde se vaya a implementar.
Análisis de los intereses implicados por la seguridad
En este apartado debemos tener claro cuales son los intereses de seguridad que la organización realmente requiere, esto es primordial para conocer el equilibrio entre las inversiones de seguridad y el nivel que requiere la organización.
Para su cumplimiento es necesario contestar a la siguiente doble pregunta:
- “¿Qué puede ocurrir, y si ocurre, puede ser grave?
A través del análisis del interés que nos proporciona esta metodología se extraen dos informes o resultado:
– Valoración de disfunciones por medio de una escala.
– Clasificación de la información y los activos informativos.
- Escala de valoración de las difusiones.
En esta escala se identifica cuáles serían los acontecimientos que pueden generar problemas dentro de las propias actividades de la empresa. Con la realización de esta escala conseguimos:
a. Descripción de los posibles tipos de disfunciones
b. Definición de los parámetros que influyen en la seriedad y gravedad de las disfunciones
c. Evaluación de los límites críticos de los parámetros que modifican los niveles de seriedad de las disfunciones
- Clasificación de la información y de los activos informativos
Términos de clasificación de la información y clasificación de los activos. En ella se valora cada tipo de información y para cada uno de sus activos Disponibilidad, Integridad y Confidencialidad.
Análisis de Riesgos
El objetivo principal de esta metodología es la correcta evaluación y análisis de los riesgos en una organización, basándose en los principales factores de riesgo los cuales son:
- Factores estructurales independientes de medidas de seguridad, pero teniendo en cuenta la actividad principal que realice la organización, su entorno y contexto.
- Factores de reducción de riesgo que son una función directa de medidas de seguridad implementadas.
El camino a seguir para la realización de un análisis de riesgos según la metodología MEHARI son:
- Análisis de riesgos.
- Análisis sistemático de situaciones de riesgo.
- Análisis específico de situaciones de riesgo.
- Análisis de riesgo en los nuevos proyectos.
Software ISOTools
La implantación de un SGSI puede llegar a ser un proceso complejo el cual requiera mucho tiempo y esfuerzo para llevarlo a cabo. Desde ISOTools le ofrecemos el Software ISOTools Excellence que permite la implantación de una forma cómoda y sencilla, donde se abordan todas las cuestiones necesarias que se plantean para su elaboración en una organización.