tag:blogger.com,1999:blog-33946654.post5280562313917152613..comments2024-03-29T10:47:09.875+01:00Comments on Seguridad y Gestión: Y los procesos?Joseba Enjutohttp://www.blogger.com/profile/18377573571989848760noreply@blogger.comBlogger2125tag:blogger.com,1999:blog-33946654.post-84594402907644915932007-08-29T14:50:00.000+02:002007-08-29T14:50:00.000+02:00La pregunta sobre cómo se realizan los análisis de...La pregunta sobre cómo se realizan los análisis de riesgos en el sector es muy interesante... Yo diría que, en general, hay dos opciones: "artesanal" o "soportado por herramientas". Quizás no parezca muy pensado el comentario, pero es muy importante. Sencillamente, porque en el segundo caso la "metodología" usada es la que implementa la herramienta. Y por supuesto, con sus ventajas y limitaciones (librerías de amenazas, capacidad de modelado de activos,...).<BR/><BR/>El árbol de activos que comentas me parece totalmente válido, y coincidimos en valorar sólo los activos superiores. Ahora bien... Conoces alguna herramienta que permita hacer un análisis de procesos aceptable? Me interesaría conocer al menos un catálogo "estándar" de amenazas que permita ese tipo de análisis... Porque por el momento, la única opción que conozco para hacer un análisis de riesgos de la parte dinámica de los procesos es utilizando la técnica "artesanal". Y claro, esa opción tiene bastantes inconvenientes...Joseba Enjutohttps://www.blogger.com/profile/18377573571989848760noreply@blogger.comtag:blogger.com,1999:blog-33946654.post-22580952405718291872007-08-29T08:45:00.000+02:002007-08-29T08:45:00.000+02:00No se como realizarán los análisis de riesgos los ...No se como realizarán los análisis de riesgos los demás pero yo siempre hago una revisión top-down desde los procesos hasta los elementos soportes de capas inferiores como son la información, las personas, la tecnología y las ubicaciones físicas. En mi post <A HREF="http://seguridad-de-la-informacion.blogspot.com/2007/05/seguridad-oracle.html" REL="nofollow">Arbol de activos</A> subí las transparencias que utilizo para representar las relaciones de dependencias y represento un esquema básico de las dependencias habituales que suelen existir. Es más, la valoración de los activos solo la realizo sobre los procesos y el resto de elementos necesarios reciben su valor final dependiendo de los procesos a los que dan soporte.Javier Cao Avellanedahttps://www.blogger.com/profile/09736963835602147031noreply@blogger.com