1070 3895 1 PB

39
Al salir del laberinto Evaluación de Riesgos: Un meta-encuesta
DIMITRIS GRITZALIS, Universidad de Atenas de Economía y Empresa, Grecia Julia Iseppi, Universidad
de Bournemouth, Reino Unido ALEXIOS Mylonas, Universidad de Bournemouth, Reino Unido
VASILIS STAVROU, Universidad de Atenas de Economía y Empresa, Grecia
(Autores aparecen en orden alfabético)
Las organizaciones están expuestas a las amenazas que aumentan el factor de riesgo de sus sistemas TIC. La garantía de su protección es fundamental, ya
que su dependencia de la tecnología de la información es un reto continuo para los expertos en seguridad y gerentes generales. Dado que la evaluación del
riesgo podría ser un proceso necesario en una organización, una de sus entregas podrían ser utilizados en enfrentar amenazas y facilitar así el desarrollo de
una estrategia de seguridad. Dado el gran número de métodos heterogéneos e instrumentos de evaluación de riesgos que existen, criterios de comparación
pueden proporcionar una mejor comprensión de sus opciones y características y facilitar la selección de un método que mejor se adapte a las necesidades de
una organización. El presente trabajo pretende abordar el problema de la selección de un método de evaluación de riesgos adecuada para evaluar y gestionar
los riesgos de seguridad de la información, proponiendo un conjunto de criterios de comparación, agrupados en 4 categorías. Con base en ellos, se ofrece
una comparación de los 10 métodos de evaluación de riesgos populares que podrían ser utilizados por las organizaciones para determinar el método que sea
más adecuado para sus necesidades. Finalmente, un estudio de caso se presenta para demostrar la selección de un método basado en los criterios
propuestos.
Descriptor de Sujeto y Categorias: A.1 [introductoria y la encuesta]
Condiciones generales: la seguridad, la evaluación de riesgos
Las palabras y frases clave adicionales: métodos de evaluación de riesgos, la comparación, criterios, vista general
1. INTRODUCCIÓN
Tecnología de Información y Comunicación (TIC) ha sido adoptado ampliamente por los procedimientos y actividades de la
organización moderna. dependencia de las organizaciones de las TIC se ha convertido en un reto continuo para los expertos
en seguridad e investigadores, ya que su protección es un tema importante, debido a las numerosas amenazas a que están
expuestos. Cuando se trata de la seguridad de la información, con el propósito de las organizaciones es la de mantener la
confidencialidad, disponibilidad, integridad, no repudio, la rendición de cuentas, la autenticidad y fiabilidad de los sistemas de
TI y sus datos (Schumacher et al. 2013). Además, cada organización se enfrenta a las amenazas que podrían obstaculizar
su actividad, el crecimiento y la rentabilidad (Moeller, 2004). Estas amenazas aumentan el factor de riesgo del sistema TIC y
dar lugar a la aparición de varias demandas de seguridad,
El medio para desarrollar una estrategia de seguridad y la hoja de ruta es la evaluación del riesgo (AR), que facilita la
estimación y el cálculo del riesgo que enfrenta la organización. Riesgo está representado sobre todo en función del grado de
daño y la posibilidad de que se produzca un daño (NIST 2012). La gestión de riesgos tiene como objetivo identificar,
controlar y mitigar los riesgos para los sistemas de información (Stoneburner et al., 2002). Por lo tanto, la evaluación de
riesgos es una piedra angular de la gestión del riesgo, que incluye pasos que se pueden agrupar en las siguientes cuatro
fases, a saber: (i) la determinación de riesgo que enfrentan, (ii) la evaluación del riesgo, (iii) acciones de respuesta para
mitigar el riesgo y (iv) el monitoreo de riesgos (Halliday et al, 1996;. Bandyopadhyay et al 1999;. ASIS 2003; NIST 2012).
En la actualidad, una gran cantidad de métodos de ER heterogéneos está disponible, tener un enfoque diferente (por
ejemplo, agencia gubernamental, pequeñas y medianas empresas (SME)). Además, como no existe una metodología de
evaluación rápida 'bala de plata', los analistas tienen que elegir de esta serie de diferentes métodos que mejor se ajusta a la
organización que va a ser evaluado. Sin embargo, aparte de la heterogeneidad de los métodos, actualmente no existe
consenso con respecto a este proceso de selección.
ACM Computing Surveys, Vol. xx, N ° x, artículo x, fecha de publicación: Mes 201Y
39: 2 Gritzalis D., et al.
Como tal, el objetivo de este trabajo es limitar la ambigüedad de seleccionar el método de RA apropiado por una
organización. Con este fin, este trabajo proporciona un meta-análisis de los métodos de ER que han sido estudiados en la
literatura, permitiendo a las organizaciones a decidir su idoneidad de acuerdo a sus demandas. Un conjunto de criterios de
comparación se ha extraído de la literatura y se agrupan en cuatro categorías, a saber, validez, el cumplimiento, el costo y
utilidad. El uso de los criterios de comparación se demuestra con un estudio de caso, en que una organización determina el
método que es más adecuado para sus necesidades basadas en las especificaciones técnicas, operacionales y de
procedimiento de los métodos.
El resto del trabajo se organiza de la siguiente manera: la sección 2 se analiza el trabajo relacionado que compara los
métodos de evaluación de riesgo y propone criterios de comparación para la elección de un método AR. La sección 3 describe
nuestra metodología y la sección 4 se describen brevemente los métodos de ER que se incluyen en nuestro análisis. Sección 5
proporciona una comparación genérica de los métodos de ER seguido de un estudio de casos demuestra la selección de un
método de RA por un SME. La sección 6 concluye nuestro trabajo y discute el trabajo futuro.
2. TRABAJO RELACIONADO
Uno de los mayores retos que enfrentan las organizaciones de la curia es la estimación de la eficacia y el coste de las
acciones desplegadas para garantizar la robustez de seguridad de sus actividades (ENISA, 2012). Para asegurar la
determinación de las medidas apropiadas, en cuanto a la rentabilidad, para proteger el sistema de información (IS) se lleva a
cabo la evaluación de riesgos. En consecuencia, RA es uno de los procesos que se consideran como el más esencial tener
en cuenta hoy en día (Mellado et al., 2007) y proporciona una vista más detallada de las operaciones del sistema de
información. Es la metodología más común de gestión de seguridad y se ha convertido en casi obligatorio para todas las
grandes organizaciones. Calder et al. (2010) destacan que la AR es “La competencia central de seguridad de la información”.
Hoy en día existen muchos métodos de ER, cada uno con sus fortalezas y debilidades. Cada uno de ellos puede pues
ser más o menos adecuados, de acuerdo con el caso o las necesidades específicas de la organización. Esta sección
presenta la literatura relevante y los criterios de comparación que se han propuesto para la comparación de métodos de ER.
A pesar de que hay muchas publicaciones académicas que presentan los métodos de ER más comunes, sólo unos pocos de
ellos ofrecen su comparación como en nuestro trabajo. También tomamos nota de que, contrariamente a nuestro trabajo, a
menudo publicaciones académicas proponen criterios de comparación sin usarlos, o utilizarlos para comparar sólo unos
pocos métodos de evaluación de riesgos (2-3 métodos). Ionita (2013) y ENISA (2006), examinaron las versiones anteriores
de algunos de los métodos de ER que se examinan en este trabajo.
Garrabrants et al. (1990) propusieron el método CERTS a evaluar de manera efectiva y objetivamente herramientas
para gestionar el riesgo de que se expone un sistema de información desde y para crear criterios de comparación para las
herramientas. CERTS consta de siete criterios, a saber: consistencia, facilidad de uso, la adaptabilidad, la viabilidad,
integridad, validez, credibilidad. Cada criterio incluye 2-4 atributos que describen y definen el criterio específico (Garrabrants
et al. 1990). Este trabajo ha sido utilizado por el mundo académico y especialistas, por ejemplo, ENISA (2006) utilizaron
CERTS para crear una sub-lista de criterios de comparación de métodos de ER.
Lichtenstein (1996) propuso 17 criterios para la selección de un método de análisis de riesgos adecuado. Este trabajo se
centra principalmente en sistemas en desarrollo en lugar de los ya existentes y se basa en CERTS (Garrabrants et al., 1990).
Utiliza cinco de los siete criterios CERTS. Los criterios propuestos se agruparon en (a) las características del método
Al salir del laberinto Evaluación de Riesgos: Un meta-encuesta 39: 3
(Incluyendo el costo, el acuerdo de los analistas y de gestión, la flexibilidad, la complejidad, integridad, consistencia, facilidad
de uso, utilidad, validez, fiabilidad y soporte de software) y (b) las características de la organización (incluido el nivel de
riesgo, el tamaño, la conciencia de seguridad, requerimientos externos y estructura de la organización) (Lichtenstein, 1996).
Lichtenstein (1996) y Garrabrants et al (1990) el trabajo es el punto de partida para varios marcos criterios propuestos
(Smojver 2011; Nair 2013)..
En un enfoque diferente, Van Niekerk y Labuschagne (2006) comparan los pasos de métodos de ER. Las dimensiones
estructurales del marco incluyen criterios de aplicación y de evaluación que apoyan su profundidad contexto y amplitud. Las
dimensiones de procedimiento del marco incluyen: “proceso” y “herramientas de evaluación” que se utilizan para mejorar su
funcionalidad.
ENISA ha desarrollado una “Registro de métodos de evaluación y gestión del riesgo”

(ENISA 2006) mediante el uso de las diversas etapas de evaluación y gestión de riesgos, directivas de la UE y las definiciones de
la ISO, la producción de un inventario actualizado y comparación de métodos de evaluación de riesgos ya está disponible en la
página web de ENISA (ENISA, 2006). comparación utilizada: (a) una lista de productos (métodos y normas) que están
relacionadas con el análisis y (b) la definición de propiedades específicas de riesgo de los métodos de los productos. Los criterios
de ENISA se resumen a información general que comprende la "identidad" del método o herramienta (por ejemplo, ciclo de vida,
el precio, los idiomas soportados etc.), área de campo (licencias, certificaciones, adaptación a las organizaciones etc.) y de la
opinión del usuario (habilidades , el apoyo, el método de la madurez, etc.).
OTAN comparó los pasos de CRAMM, EBIOS, htrA, NIST y MAGERIT para realizar el análisis y evaluación de riesgo
(OTAN 2008).
Syalim et al. (2009) presentó un marco de comparación se centra en MAGERIT, MEHARI, el NIST y la Guía de
seguridad de Microsoft. El marco se basa en los pasos de cada método y su documentación (Syalim et al. 2009). El trabajo
de Syalim sugiere que los métodos incluyen tres pasos generales del análisis de riesgos, a saber, “identificación de
amenazas”, “identificación de vulnerabilidades” y “determinación de riesgo”. Todos los métodos recomiendan contramedidas
como parte del proceso de gestión de riesgos.
Dong y Yadav (2014) crearon un marco para la comparación y el análisis de los métodos de evaluación de riesgos. El
marco se basa en las fases de análisis, tales como determinación, medición, evaluación y sus resultados, y sobre los
indicadores clave de rendimiento relacionados con la integridad y la eficacia de cada método (Dong et al.
2010). El objetivo del marco era proporcionar una manera fácil para que las organizaciones comparar y seleccionar el
método apropiado. Sin embargo, como el autor admite también, el marco no se ha utilizado en la práctica, sin embargo.
Sajko et al. (2010) utilizaron el Procedimiento Analítico Jerárquico (AHP) para desarrollar un marco de criterios para la
evaluación de los métodos de análisis de riesgos y herramientas (Saaty 1988). En particular, uno de los criterios propuestos
es el apoyo del método o proceso. El soporte o bien puede ser metódico (métricas, objetividad, precisión, flexibilidad,
integridad) o software (interfaz de usuario, equipo apropiado etc.). Otros criterios son los recursos necesarios (información,
personas, dinero, tiempo) y los motivos y objetivos del método (Sajko et al., 2010).
Derakhshandeh et al. (2011) propusieron un marco para la comparación métodos en base a seis criterios que van desde
0-3, a saber: los recursos necesarios, la recopilación de datos para activos, amenazas y vulnerabilidades, el costo, el tiempo,
la precisión y simplicidad (Derakhshandeh et al.
2011).
Smojver utiliza el Proceso Analítico Jerárquico (AHP) y los criterios propuestos por ENISA (2006) para proponer un
modelo que permite la comparación transparente y objetivo
de los diferentes métodos AR. El modelo tiene como objetivo ayudar a la selección del método que es más apropiado para
las necesidades de una organización (Smojver 2011). Incluye cinco criterios clave (a saber ámbito de método, la facilidad de
uso, el vencimiento del método y el público objetivo) analizados en 17 más subcriterios. El análisis de los 17 criterios es
particularmente extensa y ayuda a crear un marco de evaluación integrado y para identificar las características de cada
método.
Sunyaev- (2011) propuso una tabla de comparación de métodos de ER que se centran en el sector de la salud. El
trabajo utiliza los criterios de ENISA, que fueron reforzadas con el nivel de detalle y la capacidad de integrar en una
organización. La tabla incluye los valores en una escala de 0 a 5 para indicar la medida en que un criterio se cumple por
cada método (Sunyaev 2011).
Macedo et al. (2012) propusieron cinco criterios de comparación de métodos de ER, a saber: la complejidad, enfoque
metodológico, herramienta de apoyo, cobertura geográfica, y el origen. El objetivo era proporcionar asistencia en la selección
de los métodos a través de un proceso de ejecución en base a una serie de criterios sencillos (Macedo et al. 2012).
Padney et al. (2012) propusieron criterios 7 de comparación, a saber: la cuantificación, la integración de funciones de
seguridad, la integración de las amenazas y vulnerabilidades,
requisitos perspectiva fase, nivel de precisión / validación, cumplimiento de las normas y las herramientas de apoyo (Pandey
et al. 2012). Como en la obra de Macedo (Macedo et al. 2012), una tabla de comparación se usa con valores binarios (sí /
no) para cada criterio.
Kiran et al. (2013) proponen un marco que comprende de un criterio de comparación para 10 métodos de ER. Algunos
de los criterios y el enfoque adoptado parecerse a la obra de Macedo (2012), pero se añadieron más detalles y criterios.
Ionita complementa los criterios propuestos por ENISA, la OTAN y Kiran et al. (2013) para comparar los métodos AR
usando una tabla con valores binarios (SI / NO) (Ionita 2013). Durante el mismo período, Al-Ahmad et al. (2013) llevar a cabo
una encuesta sobre los diversos marcos de gestión de riesgos, la creación de un marco para la selección del método que
mejor se adapte a una organización. El marco utiliza un conjunto de siete criterios de comparación de métodos de ER, es
decir: los costos de implementación, las habilidades necesarias, la aplicación del método por otras organizaciones, la
disponibilidad de guías detalladas e instrucciones del proveedor, la aplicación y complejidad de las aplicaciones, la
flexibilidad y la adaptabilidad (Al -Ahmad et al., 2013). Los autores demuestran su marco con un estudio de caso.
Pan y Tomlinson (2016) proporcionan una revisión de la literatura RA 2004-14. Se clasifican los documentos académicos de
acuerdo en siete categorías relacionadas con la evaluación de riesgos, es decir, aquellas: a) identificar el riesgo de que, b)
comparar el análisis de riesgos, c) mejorar el análisis de riesgos,
d) comparar los marcos, e) mejorar los marcos, f) proporcionar estudios de casos y g) realizar la evaluación del riesgo mediante la
comparación de los resultados de análisis de riesgos. Por último, Shameli-Enviar et al. (2016) propusieron una taxonomía de
evaluación de riesgos, que se centra sólo en el análisis de riesgos, utilizando los siguientes criterios: valoración, en perspectiva, de
valoración de recursos y la medición de riesgo.
Wangen (2017) compara 11 métodos de evaluación de riesgos de acuerdo con las tareas identificadas, la aplicación y
los resultados del análisis utilizando el Curf (Core marco de riesgo Unified) (Wangen et al. 2016). Su perspectiva es que los
marcos anteriores para la comparación de métodos son restrictivas como parámetros predeterminados limitar el análisis
cuando los elementos de los métodos analizados no encajan en sus definiciones. Usando su método de abajo hacia arriba
que primero identifica las tareas de los métodos y los que las define, el autor identifica numerosos elementos de
identificación de riesgos, estimación y evaluación, clasificándolos de acuerdo con las puntuaciones de terminación (no
dirigida, abordado parcialmente, dirigida por completo). Después de aplicar el método a estudios de caso, el autor puede
ilustrar ventajas y desventajas de un conjunto de tres métodos (Octave A,
En conclusión, se puede notar la ambigüedad entre las definiciones de criterios, a medida que cambian con el tiempo y
también la falta de consenso sobre el conjunto de criterios de comparación.
3. METODOLOGÍA
Esta sección describe nuestra metodología con respecto a (a) la colección inicial de los métodos de ER disponibles y su
filtrado y (b) la comparación de la RA que se encuentran en alcance de nuestro análisis.
3.1 criterios de selección de método
Como se señaló anteriormente, las organizaciones tienen una gran cantidad de opciones cuando se trata de la selección de
un método de RA. Este trabajo considera la popularidad de los métodos de ER para compilar una lista que se filtró
posteriormente en una lista de diez métodos de ER populares. Para evaluar la popularidad de los métodos que hemos
considerado: a) si el método es proporcionado por un organismo (por ejemplo, NIST) o organismo de normalización (por
ejemplo, ISO), b) si el método es reconocido por la comunidad científica pertinente (con citas académicas ) o de la industria,
y c) la clasificación en los motores de búsqueda relevantes (Google Scholar, Google). Para obtener el número de métodos
de ER se utilizaron los siguientes criterios de selección, que se utilizan comúnmente en la literatura (Houmb 2007;. Kouns et
al 2010; Macedo 2012; OTAN 2008; ENISA
2006):
• Es el enfoque propuesto un método o una guía? Si se trata de una pauta entonces, ¿contiene un método propuesto
usar? Si no es así, excluir.
• Precio y documentación disponible? Excluir si no está disponible o difícil de encontrar en Inglés.
• ¿El enfoque de identificar los riesgos de seguridad de la información? Si no es así, excluir.
3.2 criterios de comparación
Como se discute en la Sección 2, no hay consenso en la literatura académica relevante, con respecto a la comparación y
evaluación de métodos de ER en la forma de un marco o un conjunto de criterios. Además, la definición de criterios cambia
con el tiempo, por lo tanto, hemos creado las definiciones puestas a tierra en la literatura revisada de trabajo. Más
concretamente, este trabajo utiliza un conjunto de criterios se han recopilado a través de: (a) la topografía de la literatura
relevante, (b) discusiones con expertos con AR que trabajan en la industria, y (c) la experiencia de un subconjunto de los
autores de este trabajo, que tienen experiencia en la entrega de proyectos con AR. La Tabla I resume los criterios de
comparación que se utilizan en este trabajo.
Validez. Se refiere al grado en el que los resultados del análisis se asemeja a la realidad (es decir, las circunstancias reales
y el fenómeno real) en múltiples aplicaciones independientes del método en cada configuración del sistema (Garrabrants et
al. 1990). Bajo este criterio, se agrupan los siguientes subcriterios: a) prueba de lo completo, es decir, si el método de RA
incluye todas las fases de la evaluación del riesgo (Merkhofer 1985; Garrabrants et al 1990; Lichtenstein 1996.), que
típicamente incluye las cuatro fases siguientes: (i) preparación / alcance, (ii) la identificación de riesgos, (iii ) el análisis de
riesgos, y (iv) evaluación de riesgos,
segundo) tipo de análisis ( cualitativa, cuantitativa) (Fischhoff et al 1981;. Vorster y Labuschagne 2005; Van Niekerk y
Labuschagne 2006; Katzke 1988), y c) la clase de cálculo de riesgo, que está basado en las propiedades y factores de
cálculo de riesgo (Zambon et al. 2011). En este criterio, la probabilidad se considera, según la norma ISO 31000, como la
posibilidad de un evento que ocurra, ya sea definido, medido o determinado (probabilidad / frecuencia). Esto se utiliza por
razones de flexibilidad, ya que se puede producir un evento
múltiples veces dentro de un período de tiempo especificado. El operador " ⊗" establece una combinación entre dos factores.
Este trabajo utiliza las cinco clases de cálculo de riesgo como se define en (Zambon et al 2011.):
• Clase A. Métodos en los que el cálculo del riesgo se basa en la relación entre los activos y amenazas, a saber, la
combinación de la probabilidad amenaza, la vulnerabilidad del activo con el que amenaza específica y el impacto en
el activo: Riesgo (Amenaza, Activos) = Probabilidad (Amenaza) ⊗ Vulnerabilidad (Amenaza, Activos) ⊗
Impacto (Amenaza, Activos)
• Clase B. Métodos en los que el cálculo del riesgo se basa en el resultado de la materialización de una amenaza y de
los requisitos de seguridad definidos para un activo específico. Este enfoque es útil cuando se realiza la evaluación
del riesgo para las organizaciones que deseen certificarse y conforme a las normas.
Riesgo (Amenaza, Activos, Requisitos) = vulnerabilidad (Amenaza, Activos) ⊗ Impacto (Amenaza, Requisitos)
• Clase C. Los métodos que se muestra la pérdida financiera que el incidente podría causar. “Riesgo (Amenaza, de
activo) = Expectativa de pérdida anual (Amenaza, Activos) = Probabilidad

(Amenaza, Activos) ⊗ La pérdida media (Amenaza, Activos)”
• Clase D. Métodos en los que el cálculo del riesgo considera los activos críticos (por ejemplo, los bienes de una
infraestructura crítica), basado en el nivel de vulnerabilidad del activo crítico y el impacto de la amenaza de este activo
crítico. “Riesgo (Amenaza, activo crítico) = vulnerabilidad (Crítica Activos) ⊗ Impacto (Amenaza, activo crítico)”
• Clase E. Al contrario de los métodos de Clase A, Clase E métodos calcular el riesgo sobre la base de los incidentes de
seguridad (es decir, la combinación de una amenaza con una vulnerabilidad que es necesaria para la ocurrencia de la
amenaza), en lugar de amenazas por lo tanto son menos genérico. El riesgo se calcula con las combinaciones de la
probabilidad de que el incidente de seguridad y su impacto a un activo crítico.
“Riesgo (Incidente, Activos) = Probabilidad (incidentes) ⊗ Consecuencias (incidente, activos)”Por último, una evaluación
cualitativa del riesgo se basa en las evaluaciones realizadas por un experto, por lo que los riesgos se pueden clasificar en
lenguaje natural de acuerdo a las escalas nominales y ordinales (Refsdal et al. 2015). Este enfoque no utiliza ningún valor
numérico y por lo general se basa en estimaciones basadas en la opinión y subjetivos. La salida se resume en clases,
utilizando escalas tales como “bajo”, “medio” y “alto”. Por otro lado, la evaluación de riesgos cuantitativa utiliza de relación,
escalas absolutas de diferencia para representar las unidades monetarias, los porcentajes de riesgo o la cuantificación del
valor del activo que se ha perdido. En general, los métodos cualitativos son más rápidos para extraer resultados y requieren
menos recursos y datos. Por otra parte, la competencia en matemáticas y economía no es necesaria (Rosenquist
2009). Al mismo tiempo, se sugiere el uso de métodos cuantitativos en los casos de granularidad más fina o más
evaluaciones a nivel técnico, mientras que se recomienda un enfoque cualitativo cuando la información a ser calificado no es
homogénea (Refsdal et al.
2015).
Conformidad. Este criterio se refiere al cumplimiento de las normas relacionadas con la seguridad de la información,
reglamentos y otros métodos (ENISA 2006; Merkhofer 1985; Lichtenstein 1996;. Sajko et al 2010).
Costo. El criterio se refiere a los gastos relacionados con la evaluación de riesgos (Olle et al. 1988). Esto incluye los
sub-criterios gastos de apoyo y coste del software ( Browne 1989; Lichtenstein 1996; ENISA 2006). El primero se refiere al
gasto que es necesario para acceder a la documentación y otras fuentes relacionadas con el método (por ejemplo,
formación, libros y manual del usuario). Este último se refiere al costo de la licencia del software / herramienta.
Utilidad. Este criterio se refiere a la cualidad de tener utilidad y vale la pena especialmente práctico o aplicabilidad del
método. Incluye los siguientes sub-criterios: (a) facilidad de uso que consiste en la facilidad de uso y la documentación del
interfaz (Syalim et al. 2009), (b)
ciclo vital es decir, el método de la fecha de lanzamiento y la última actualización (Olle et al 1988;. Craft et al 1998;. Syalim y
otros, 2009;. ENISA 2006), (c) alcance a saber, la capacidad de adaptación del método para satisfacer las demandas de una
organización (Lichtenstein 1996;. Kitchenham et al 1997; Craft et al 1998;. Smojver 2011) y la atención del método de
evaluación del riesgo (Olle et al 1988;. Garrabrants et al., 1990), (d) soporte de software, a saber, si el método se acompaña
de una herramienta que facilita el proceso de RA, (e) requerido formación para la aplicación, el uso y el mantenimiento del
método de RA (Kitchenham et al. 1997), y la adaptabilidad,
es decir, la capacidad de adaptar el método a las necesidades de una industria específica (Garrabrants et al 1990;.
Lichtenstein 1996;. Sajko et al 2010).
En este trabajo usabilidad se define por Lichtenstein (1996) y utiliza 3 criterios para su evaluación, a saber: 1) fácil de
usar, 2) capaz de manejar errores, y 3) sencilla y completa. Si un método satisface los criterios mencionados anteriormente,
entonces la tasa de usabilidad se evalúa como suficiente. Si satisface dos de ellos, entonces se considera relativamente
suficiente y si satisface sólo una, entonces se considera como insuficiente.
Finalmente, este trabajo considera los detalles del ciclo de vida como una indicación de utilidad, como un método
obsoleto no incluye todas las vulnerabilidades recientes, las amenazas y salvaguardias y esto dificulta el proceso de la
evaluación de riesgos.
Tabla I. Evaluación y criterios de comparación
Validez Conformidad Costo Utilidad

Lo completo Facilidad de uso
Preparación (1) Usabilidad (interfaz,

Identificación de riesgos (2) manejar
Análisis de riesgos (3) errores de
Evaluación de Riesgos (4) documentación)
Tipo de análisis Alcance
Cualitativo El cumplimiento de Soporte coste coste Organización de destino

cuantitativo las normas del software (Tipo, tamaño), Focus
Clase de cálculo de riesgo Ciclo vital
Clase A Liberar Última
Clase B actualización
Clase C Apoyo a la capacidad de
Clase D adaptación del software
Clase E Formación
4. MÉTODOS DE EVALUACIÓN DE GESTIÓN / RIESGO RIESGO
Ahora proporcionamos una breve descripción de los métodos de ER que están en el ámbito de nuestro análisis.
4.1 EBIOS
Según lo descrito por Agencenationale de la sécurité des sistemas d' información del “método EBIOS fue inicialmente
desarrollado por la División de Sistemas de Información de Seguridad central francés. El método se mantiene ahora por los
expertos del club privado de diferentes campos (por ejemplo, el Club EBIOS)”(ANSSI 2010). EBIOS tiene como objetivo
apoyar la gestión en la toma de decisiones mediante la creación de una base común para debates sobre la seguridad entre los
diferentes grupos de interés. Para evaluar y gestionar los riesgos asociados con los sistemas de información El método utiliza
las cinco fases que están descriptos en la Tabla II.
A diferencia de otros métodos que son escenarios-base, EBIOS utiliza un enfoque modular que permite un análisis más
en profundidad a través de la identificación de los diversos componentes individuales o causas de riesgo, como
vulnerabilidades, entidades y métodos de ataque (Kouns et al. 2010) . Este diseño modular es uno de los aspectos más
fuertes de EBIOS.
Tabla II. Fases EBIOS (2010) Anssi
4.2 MEHARI
MEHARI fue diseñado por los especialistas en seguridad del Instituto Francés CLUSSIF ( “Club de la Sécurité de
l'información Français”). El método sustituye métodos Marion y MELISA. Se anunció en 1996 y ofrece un modelo para la
evaluación de riesgos, componentes y procedimientos para apoyarla modulares. MEHARI tiene como objetivo ayudar en
administración / ejecutivos superiores implementan la norma ISO seguridad / IEC 27005. El método es compatible con los
estándares de seguridad actuales, tales como ISO 13335, 27001 y 27005. El objetivo era permitir a un procedimiento
validado para el análisis de escenarios de riesgo y proporcionar herramientas para gestión de la seguridad, tanto a largo
como a corto plazo (CLUSIF 2010). El método describe un proceso complicado que contiene los pasos de gestión de riesgos
circulares y la formación de una base de conocimientos. Después de la formación de la base de conocimientos, un proceso
RA separado se desarrolló e implementó. Para cada escenario de riesgo los pasos que se presentan en la Tabla III se
siguen:
Tabla III. Fases MEHARI (2010) CLUSIF
4.3 OCTAVA
OCTAVA fue creado por el Instituto de Ingeniería de Software de la Universidad Carnegie Mellon (CERT 2008). El Ministerio
de Defensa de Estados Unidos financió inicialmente el proyecto para hacer frente al reto de cumplimiento de la norma de
seguridad de HIPAA. OCTAVA se puede adaptar a las necesidades de cada organización y toma en cuenta los recursos, las
amenazas y las vulnerabilidades de naturaleza técnica y de organización. Existen varias variaciones del método y
herramientas de apoyo, cada uno sirviendo un propósito específico (CERT 2008).
El método admitido más reciente es OCTAVE Allegro y se basa en los métodos anteriores octava original y la octava-S
(Caralli et al. 2007). El marco actual consta de tres variantes del método de octava y su método octava principal para la
evaluación de riesgos está diseñado para organizaciones que emplean trescientos o más
39:10 Gritzalis D., et al.
empleados y consta de las fases que se resumen en la Tabla IV (Alberts et al.

2003).
Octava se basa en la participación de los empleados en el equipo de análisis. Los empleados de diferentes niveles de la
organización están involucrados para satisfacer los requisitos de organización, técnicos y operativos del método. El objetivo
del método es de los activos críticos, para lo cual está llevando a cabo el análisis.
Tabla IV. Fases de octava ( Alberts et al. 2003)
Al salir del laberinto Evaluación de Riesgos: Un meta-encuesta 39:11
4.4 IT-Grundschutz
IT-Grundschutz fue propuesta en 1994 junto a una serie de normas del Servicio de Seguridad Federal de Alemania (BSI). Su
objetivo es conseguir el nivel de seguridad de la organización apropiada, ofreciendo recomendaciones y medidas generales
para crear un procedimiento eficaz de seguridad junto con las directrices técnicas detalladas (alemán BSI 2014).
IT-Grundschutz proporciona un método cualitativo para identificar, analizar y evaluar los incidentes de seguridad que pueden
causar daños en el negocio. IT-Grundschutz consta de los pasos que se resumen en la Tabla V.
El cuerpo principal de IT-Grundschutz no describe un método específico y ofrece “recomendaciones y sugerencias para
las salvaguardias y controles de seguridad que sean apropiados para los procesos estándar y típicos de negocios,
aplicaciones y sistemas informáticos con los requisitos de seguridad común” (Nidd et al. 2015) . Por lo tanto, los bienes
comunes se describen junto con los aspectos relativos a la organización, la infraestructura y el personal involucrado. La
norma enumera las amenazas potenciales y sugiere las garantías adecuadas. Para identificar las principales deficiencias del
sistema y para cumplir con el estándar de TI-Grundschutz, “módulos correspondientes se eligen y se aplican a cada aspecto
del sistema de información. Este enfoque permite una manera rápida y económicamente sostenible a un nivel de seguridad
razonable”(Kouns et al., 2010). Por último,
Tabla Fases V. IT-Grundschutz (alemán BSI 2014)
4.5 MAGERIT
MAGERIT es un método para el análisis y gestión de riesgos desarrollado por el Consejo Superior de Español Gobierno
Electrónico (CSAE) (Amutio et al. 2014). MAGERIT es una respuesta a la creciente dependencia de los servicios públicos y
organizaciones privadas para tecnología de la información. El método está diseñado para servir a cualquier persona que
trabaja con los sistemas de gestión de la información digital.
MAGERIT consta de los pasos que se resumen en la Tabla VI. Para organizar mejor los resultados, el paso 3 es
realizar en la ejecución de todos los demás pasos y el desarrollo del escenario. Como resultado, se proporciona una
estimación realista de los impactos, amenazas y riesgos. MAGERIT es, también, con el apoyo de herramienta EAR / Pilar.
Tabla VI. Fases MAGERIT (Amutio et al. 2014)
4.6 CRAMM
CRAMM es un método de RA que fue creado por la Agencia Central de British Comunicación y Telecomunicaciones (CCTA)
en 1985 (ENISA 2006). Fue creado con el objetivo de proporcionar una evaluación de la seguridad de sistemas de
información en los departamentos gubernamentales. CRAMM proporciona una herramienta, que más tarde se hizo
disponible en el mercado para el público a través de Insight Consulting. El método y la herramienta se han desarrollado
principalmente para su aplicación en las organizaciones a gran escala, pero también se pueden aplicar a las PYME (Yazar
2002; Spinellis et al., 1999) .CRAMM también se puede utilizar para (a) Justificar las decisiones de inversión en la seguridad
de la información sistemas y redes, basados en resultados medibles y (b) demostrar la compatibilidad de los sistemas de
información organizaciones con el estándar británico durante un proceso de auditoría. CRAMM consta de tres fases (Tabla
VII).
4.7 htrA
“El método de evaluación de riesgos (htrA) Amenaza y armonizado fue publicada bajo los auspicios del Jefe de
Comunicaciones Establecimiento de Seguridad y el Comisionado de la Real Policía Montada de Canadá (RCMP)” (CSE
2007). El método tiene como objetivo proporcionar (Shallal 2013): (1) Flexibilidad - El método debe ser flexible para que
pueda gestionar todos los activos, ya sea en
forma física o informativo, tanto dentro de las grandes organizaciones y pequeña. (2) Escalabilidad - para permitir la
separación de al más grande y complejo de htrA
módulos más pequeños que son más fáciles de manejar, el método debe apoyar el análisis, y proporciona las interfaces
apropiadas entre los datos pertinentes. (3) Simplicidad - El método debe ser satisfactoria y descrito en los pasos simples
para Al-
bajo nivel de ejecución fácil por los programas de gestión y proyectos, así como profesionales de la seguridad. (4) Generalidad
- El método debe ser aplicado de manera adecuada a todos los activos.
Tabla VII. Fases Cramm (ENISA 2006)
(5) Consistencia - Para lograr una mayor coherencia entre las diferentes htrA utilizado por dife-
organizaciones alquiler, el método necesita establecer el vocabulario y la terminología común y sencillo para todos los
aspectos de la gestión de riesgos. (6) Automatización - Se ha desarrollado con el fin de permitir la automatización para
facilitar y
apoyar el proceso de htrA.
El método consiste en las seis fases que se resumen en la Tabla VIII:
Tabla VIII. Fases htrA (shallal 2013)
4.8 NIST SP800
El NIST SP800 se complementa con otras normas del marco SP800 “proporcionando un método general para la
gestión global del riesgo en Sistemas de Información” (Kouns et al 2010;. Stoneburner et al 2002;. NIST 2012). El método
consiste de las tres fases que se resumen en la Tabla IX (OTAN 2008). El método descrito en NIST SP800-
30 es principalmente cualitativo. NIST 800-30 es principalmente un modelo en lugar de un método especializado. Aún así,
contiene una guía completa para definir todos los aspectos de un programa eficaz de gestión de riesgos. También incorpora
las directrices y los procesos necesarios para evaluar y mitigar los riesgos. Se adapta mejor a las organizaciones grandes,
como las agencias gubernamentales y grandes empresas. NIST SP800 soporta la gestión de las organizaciones, los CIO
(Chief Information Officers), oficiales de seguridad, consultores de TI y en general cualquier persona que tiene que ver con la
gestión de riesgos en una organización (Kouns et al., 2010).
Tabla IX. Fases SP800 NIST (NIST 2012)
4.9 Evaluación RiskSafe
RiskSafe método fue propuesto y puesto en libertad en 2012 como un Software como Servicio solución (SaaS). Ha sido
desarrollado por consultores con amplia experiencia en la realización de evaluaciones de riesgo en una amplia gama de
sectores empresariales, incluyendo Gobierno Central, Gobierno Local y Servicios Financieros (2014) ajustados platino.
RiskSafe tiene como objetivo hacer la evaluación del riesgo de un proceso mucho más transparente y ayudar a transformar
la evaluación y gestión de riesgos en un enfoque de colaboración. Esto permite que todas las partes interesadas para ver
cómo se han identificado los riesgos y luego a grabar, mantener y hacer comentarios sobre cómo estos riesgos son tratados
(ajustados platino 2014).
Tabla X resume las fases de RiskSafe.
Fases RiskSafe Tabla X. (Platinum Squared 2014)
4.10 CORAS
CORAS consta básicamente de tres artefactos, a saber, un método para la evaluación de riesgos, un lenguaje y una
herramienta informática. El lenguaje es un lenguaje CORAS personalizada para modelos de riesgo. El lenguaje es
esquemática. Se utiliza símbolos gráficos simples y las relaciones entre éstas para facilitar diagramas que son fáciles de leer
y que son adecuados como un medio para la comunicación entre las partes interesadas de diversos orígenes. En particular,
los diagramas de CORAS están destinados a ser utilizados durante sesiones de reflexión donde la discusión se documenta
en el camino (Lund et al. 2011).
La primera versión de CORAS fue desarrollado dentro de un proyecto de la Unión Europea (IST2000-25031) que se
completó en 2003. Desde entonces varios cambios importantes CORAS ha sufrido. El libro CORAS (Lund et al. 2011) ofrece
una visión global de la versión actual. El lenguaje CORAS se definió originalmente como un perfil UML. Desde entonces, el
lenguaje ha evolucionado hasta convertirse en un lenguaje específico de dominio independiente de UML a través de varias
iteraciones con retroalimentación de los estudios de casos industriales, la enseñanza y las investigaciones empíricas. El
lenguaje tiene una semántica formal y es apoyado por un cálculo especializada para el razonamiento riesgo.
CORAS proyecto dirigido a desarrollar un marco práctico basado en modelos y también el apoyo de una herramienta
para la evaluación de riesgos efectiva de los sistemas críticos (Aagedal et al., 2002). Se utiliza un lenguaje de modelado
basado en UML, que se utiliza junto con la evaluación del riesgo para tres propósitos (Raptis et al., 2002): (a) una descripción
abstracta de la meta del RA, (b) facilitar la comunicación entre las partes interesadas, que pueden ser de gestión , expertos,
departamentos, etc., (c) documentar los resultados y las suposiciones subyacentes. El lenguaje CORAS ofrece cinco tipos de
diagramas: diagramas básicos de activos, diagramas, diagramas de amenaza de riesgo, diagramas de tratamiento, y los
diagramas de descripción tratamiento (Lund et al 2011.). Tabla XI resume las fases de CORAS.
Tabla XI. Fases CORAS (Lund et al. 2011)
5. Comparación de los métodos de RA
Esta sección utiliza los criterios de comparación que se discutieron en la Sección 3.2, para comparar los métodos de ER que
se seleccionaron para el análisis. La evaluación se basa en las percepciones y la experiencia de un subconjunto de los
autores - algunos de los cuales tienen experiencia en la entrega de proyectos AR - y el estudio de la literatura relevante
(véase la sección 2). Los resultados del análisis se presentan en los apartados siguientes y se resumen en las Tablas XIII a
XVI.
5.1 Tipo de análisis, las fases de evaluación de riesgos y Clase
Tabla XII. Comparación de los métodos de ER basado en el criterio de validez
Riesgo Tipo de
Categoría: validez Lo completo
Cálculo análisis
culos de riesgo s fase ción Cualitativo
Método / Criterios Clase o
1 2 3 4
Cuantitativo
EBIOS ✓✓✓ ✓ segundo Cualitativo
MEHARI ✓✓✓ ✓ UNA Cualitativo
OCTAVA ✓✓✓ ✓ re Cualitativo
IT-Grundschutz X✓✓ ✓ mi Cuantitativo
MAGERIT ✓✓✓ ✓ UNA Ambos
CRAMM ✓✓✓ ✓ UNA Cualitativo

htrA ✓✓✓ ✓ UNA Cualitativo
NIST SP800 X✓✓ ✓ UNA Cualitativo
Evaluación
✓✓✓ ✓ UNA Cualitativo
RiskSafe
CORAS ✓✓✓ ✓ mi Ambos
Nota: Las fases Ra es utilizando la siguiente notación: 1 = preparación / determinación del alcance, 2 = identificación de riesgos, 3 = análisis de riesgos, y 4 =
evaluación de riesgos,
Tabla XII resume la comparación de los métodos de ER bajo el criterio de validez.
Con respecto a la clase de cálculo de riesgo subcriterio, nuestros resultados sugieren que la mayoría de los métodos de
ER, que fueron estudiados en este trabajo, entran en la categoría de Clase A, cuando se considera el cálculo del riesgo.
CORAS e IT-Grundschutz se clasifican como Clase E, es decir, los riesgos son evaluados en relación con un incidente de
seguridad en relación con un activo, y pueden definirse sólo en relación con una vulnerabilidad. A pesar de que estos
métodos difieren en la forma en que se calcula el riesgo, esto no necesariamente significa que sean inferiores a los demás.
Parece, sin embargo, que otros métodos tienen una ligera ventaja, ya que contienen un concepto más amplio de riesgo.
Clase A, métodos consideran que las amenazas pueden afectar a un activo incluso sin una vulnerabilidad y esto les da la
ventaja sobre los métodos de la clase E.
Considerando el lo completo en fases con AR, la mayoría realice los pasos de análisis de riesgos similares (análisis,
gestión y mitigación de riesgos). Algunos de los métodos se han perfeccionado estos en, pasos de análisis separadas más
pequeñas, cubriendo la mayoría de los aspectos, mientras que otros los han agrupado en fases. Más específicamente, el
htrA divide los pasos en 6 fases. La falta de profundidad técnica y el hecho de que las salvaguardias existentes no se toman
en consideración se considera como una desventaja. La documentación del método
se describen las pautas generales sobre todo sin profundizar en los detalles técnicos. En cada paso se proporcionan tablas
predefinidas. Estas tablas se utilizan para resumir los datos importantes y evaluarla en la escala de valores de alto, medio y
bajo. El límite restrictivo de caracteres permitidos en cada mesa se considera como una desventaja, ya que los datos útiles
se pueden perder. También la división en 6 fases introduce un cierto nivel de complejidad en el método, a pesar de que cada
paso es relativamente fácil de entender.
CORAS es compatible con todos los pasos igual, lo que hace que sea un proceso que consume tiempo si la compañía
está interesada en una evaluación superficial de su postura de seguridad. Se compone de 8 etapas, con la primera 4 con el
objetivo de alcanzar un acuerdo con la dirección (Lund et al.
2011). valioso tiempo que se gasta en tratar de lograr la convergencia con la administración que da a este método, la profundidad requerida para un análisis que
implica de 150 a 300 horas hombre. Para cada activo el grado de significación se define en relación a su tipo (activo directo / indirecto). escalas de evaluación se
definen por el usuario en estos cuatro primeros pasos y se puede finalmente ajustarse en fases posteriores (Lund et al. 2011). Para la identificación y evaluación de
riesgos de un taller se lleva a cabo en los cuales se identifican las amenazas, las vulnerabilidades y los escenarios de incidentes. El método se basa en la creación de
diagramas de amenazas, que muestran cómo una combinación de diferentes vulnerabilidades puede conducir a la pérdida de uno o más parámetros de seguridad.
Los datos que se requiere para llevar a cabo el análisis se recoge a través de reuniones con un representante de la organización, durante el cual se llevó a cabo una
sesión de reflexión y es seguido por una colección de cualquier documentación pertinente y otros materiales (como las estadísticas sobre los riesgos para los
objetivos) ( Lund et al. 2011). Una reunión debe ser programada para cada diagrama de amenaza y esto caracteriza a la utilidad del método en relación con los
enfoques lista de verificación, que no hayan sido recomendados por los médicos consideran hoy en día la naturaleza del crimen-as-a-service y negocio requisitos
legales y reglamentarios tienen que cumplir con. nivel de riesgo se define con una tabla que muestra la correlación de la probabilidad de un incidente y la gravedad del
impacto y los parámetros de seguridad que se ven afectados. durante el cual una lluvia de ideas se lleva a cabo y es seguido por una colección de toda la
documentación pertinente y otros materiales (como las estadísticas sobre los riesgos para los objetivos) (Lund et al. 2011). Una reunión debe ser programada para
cada diagrama de amenaza y esto caracteriza a la utilidad del método en relación con los enfoques lista de verificación, que no hayan sido recomendados por los
médicos consideran hoy en día la naturaleza del crimen-as-a-service y negocio requisitos legales y reglamentarios tienen que cumplir con. nivel de riesgo se define
con una tabla que muestra la correlación de la probabilidad de un incidente y la gravedad del impacto y los parámetros de seguridad que se ven afectados. durante el
cual una lluvia de ideas se lleva a cabo y es seguido por una colección de toda la documentación pertinente y otros materiales (como las estadísticas sobre los riesgos
para los objetivos) (Lund et al. 2011). Una reunión debe ser programada para cada diagrama de amenaza y esto caracteriza a la utilidad del método en relación con
los enfoques lista de verificación, que no hayan sido recomendados por los médicos consideran hoy en día la naturaleza del crimen-as-a-service y negocio requisitos legales y reglamentarios tienen que cumplir c
CRAMM sigue estandarización rigurosa en la fase de preparación, lo que reduce su flexibilidad en comparación con
otros métodos. estandarización estricta se utiliza en todas las fases, lo que hace el complejo método y consume tiempo. Los
datos que son requeridos por CRAMM, se recogen principalmente a través de entrevistas. CRAMM también separa activos
en cuatro categorías: físico, aplicaciones / software, información / datos y ubicaciones. Antes de la valoración de activos,
CRAMM requiere la construcción de un modelo para cada activo. Un modelo es un esquema relacional, que muestra las
relaciones entre los activos. El nivel de amenaza se identifica en una escala de cinco valores cualitativos (de “muy bajo” a
“muy alto”) y la vulnerabilidad se determina en el "Alto o" escala "Low," Medio. CRAMM tiene en cuenta cualquier
salvaguardias existentes en la evaluación del riesgo. El cálculo del valor implícito de un activo también se considera como
ventaja, ya que es algo que parece estar ausente de algunos de los otros métodos. CRAMM calcula el riesgo de cada grupo
de activos usando tablas predefinidas y comparar el valor de los activos, el impacto y los niveles de amenazas y
vulnerabilidades.
EBIOS se divide en cinco fases. La documentación de que sólo está disponible en francés, que se considera como
desventaja ya que evita que los hablantes no nativos para entender el método. El método considera las garantías existentes,
que se considera como una ventaja. El método define amenaza como la combinación de un agente de amenaza, un método
de explotación y un conjunto de vulnerabilidades y entidades que sufren de ellos. Para cada amenaza, el método utiliza un
valor de oportunidad, calculado a partir del número de vulnerabilidades asociadas con ella. El método EBIOS no hace uso de
escenarios, sino que sigue un enfoque estructurado para identificar y evaluar los componentes de riesgo. Esto le da
La ventaja de un análisis de riesgos relativamente flexible y exhaustiva, en comparación con otros métodos, como MEHARI,
que son escenarios menos flexibles y de uso.
IT-Grundschutz contiene directrices técnicas detalladas y recomendaciones generales. Sus pasos son similares a los
de CRAMM y MAGERIT. Sin embargo, TI-Grundschutz no se centra en la definición de contexto del proyecto. Se divide el
análisis de riesgo en dos niveles, lo que permite una ejecución más rápida de todo el proceso. Debido al ahorro de tiempo
conseguido, esta característica se considera una ventaja.
MAGERIT tiene la ventaja de que puede utilizar cálculos ya sea cualitativa o cuantitativa del riesgo. El método lleva a
cabo el cálculo del riesgo a través de tablas predefinidas o análisis algorítmico. Se separa a los pasos en más fases sub, lo
que mejora el método con más flexibilidad en comparación con los métodos que siguen estrictamente la estandarización de
cuatro fases, tales como CRAMM y IT-Grundschutz. MAGERIT no hace uso del concepto de vulnerabilidad, que puede
considerarse como desventaja en comparación con otros métodos. MAGERIT separa activos en nueve categorías y utiliza
una escala con valores de "mínimo" a "muy alta" para la probabilidad de materialización de una amenaza. Amenazas
valoración sigue un enfoque diferente de la mayoría de los métodos. Para evaluar las amenazas, MAGERIT define una tabla
métrica 5 (potencial, la probabilidad, fácil, frecuencia), cada uno con su propio rango de valores. Esto se considera como una
ventaja, ya que da mayor granularidad a la valoración de amenazas. Además, el método calcula diferentes tipos de riesgos,
como el riesgo acumulado y desviado. Esto da una ventaja sobre los métodos tales como CRAMM, IT-Grundschutz, y
MEHARI, que calculan sólo un tipo de riesgo.
MEHARI se divide en 8 pasos, lo que añade complejidad a la ejecución del método. Su dependencia de una base de
conocimientos no es algo que pueda ser considerado como ventaja o desventaja, debido al hecho de que su creación puede
ser útil o tiempo. Esto es cierto ya que los pasos del método dependen estrechamente de la utilización de la base de
conocimientos, pero, por otro lado, el uso de dicha base de datos puede ayudar a acelerar todo el proceso de la AR.
MEHARI utiliza escenarios para identificar y evaluar el riesgo, que se almacenan y modelado dentro de su base de
conocimientos. Los analistas deben elegir el escenario que mejor se adapte a cada situación. Los escenarios se eligen
basándose en el nivel de impacto, el tipo de activo y el tipo y la naturaleza de los tenedores de apuestas. Para calcular la
gravedad de una situación dada, el impacto residual y probablemente del capó se tienen en cuenta. Estos se calculan a partir
de la diferencia del impacto intrínseca y la probabilidad de un incidente con las salvaguardas existentes. El método utiliza
cuestionarios para calcular el riesgo. Además, se utilizan tablas con valores fuera de tiempo para evaluar el riesgo y la
reducción de los agentes. Se podría afirmar que el proceso general de la creación de la base de conocimientos puede ser
complicado y consume mucho tiempo.
NIST SP800 es principalmente un estándar general y no un método específico. Esto se puede considerar como
desventaja, ya que cada organización puede poner en práctica sus directrices de una manera diferente. Sin embargo, NIST
SP800 describe el proceso de gestión del riesgo basada en tres fases, que incorporan todos los pasos del proceso de
gestión de riesgos. El método se centra principalmente en la evaluación de riesgos y utiliza una escala con valores de "Bajo",
"Medio" y "Alto" para evaluar el riesgo. El hecho de que NIST SP800 considera las contramedidas existentes se considera
como una ventaja. Sin embargo, la primera fase consiste en nueve pasos, por lo tanto, el aumento de la complejidad y el
tiempo que se necesita.
OCTAVE utiliza los 4 fases con AR. Cada fase consiste en talleres, en los que recopilan todos los datos necesarios,
mediante el uso de cuestionarios. Un número relativamente grande de los empleados está involucrado en cada fase, lo que
puede aumentar el tiempo de terminación global. Otra desventaja es el hecho de que las garantías existentes no se toman
en consideración. A diferencia de otros métodos tales como CRAMM, MAGERIT, MEHARI y
EBIOS, OCTAVE no analiza y no hace recomendaciones de salvaguardias para mitigar el riesgo. OCTAVA forma un perfil de
riesgo de cada activo, que coincide con el activo con los requisitos de seguridad, las posibles amenazas, vulnerabilidades e
impactos. Estos perfiles se extendieron en los perfiles de riesgo con la adición de los efectos de cada amenaza. Para la
clasificación de impacto, con una escala de bajo, medio, se utiliza valores altos. vulnerabilidades técnicas se dividen en 9
clases (servidores anfitriones, componentes inalámbricos, componentes de red, estaciones de trabajo de escritorio,
dispositivos de almacenamiento, componentes de seguridad, otros dispositivos). El hecho de que el método depende de
herramientas externas para identificar las vulnerabilidades de los componentes del sistema para el que no se incluye ninguna
documentación, se considera como una limitación del método.
RiskSafe convierte evaluación de riesgos en un proceso de colaboración, que se considera como una ventaja sobre
otros métodos. Como proceso, RiskSafe incluye tres fases que se juzga como una ventaja debido a su simplicidad. Una de
las ventajas del método es el hecho de que las contramedidas de seguridad existentes se incluyen en el proceso de la AR.
Sin embargo, su enfoque de colaboración requiere buenas habilidades de gestión de equipos, lo que podría aumentar el
tiempo necesario para la realización de un proyecto, si un buen nivel de cooperación y coordinación entre el equipo de
análisis no existe.
5.2 Cumplimiento de las normas, Costos
Con respecto al criterio de cumplimiento, este apartado se resumen los métodos de cumplimiento con las normas de
ENISA (2006), omitiendo los que han sido retirados y sustituidos por normas posteriores (por ejemplo, BS7799 reemplazada
por la norma ISO / IEC 27001). Más específicamente, nuestro análisis sugiere que MAGERIT es el método que sea
compatible con la mayoría de las normas internacionales de normalización (4 ISO / IEC en total). MAGERIT es seguido por
CRAMM, RiskSafe así como IT-Grundschutz (ver Tabla XIII). CORAS es compatible con la norma ISO / IEC 27001 y
ISO31000 (Beckers et al. 2014). Para OCTAVE y htrA se encontró ninguna información suficiente con respecto a su
cumplimiento de las normas, ya sea en su documentación o la literatura relevante. Como se resume en la Tabla XIII, la
mayoría analizado métodos cumplen con la norma internacional ISO / IEC 27001.
Teniendo en cuenta los gastos, en el momento de escribir este documento, la mayoría de los métodos están
disponibles de forma gratuita con la excepción de CRAMM y RiskSafe. CORAS está disponible de forma gratuita y un libro, lo
que explica en detalle el método, existe eso cuesta € 96. CRAMM requiere el uso de una licencia anual con diferentes costos
(de 312 € para la versión básica hasta 1.000 € para la edición completa). El software CRAMM Express también requiere una
licencia anual que comienza a partir de 1.800 € y puede llegar a 3.500 € para la versión completa. RiskSafe también
proporciona software y acceso a la documentación en un cargo mensual.
La ventaja de MAGERIT contra CRAMM y RiskSafe es el libre acceso a su documentación, junto con el uso de 30 días
libre de todas las herramientas de apoyo. Pilar, la herramienta comercial que soporta MAGERIT, se proporciona en 3
versiones diferentes, cada uno con una funcionalidad mejorada. Su versión básica cuesta € 250 y cada perfil adicional cuesta
extra € 150. La versión completa del Pilar cuesta € 1.500. Compra de la base de datos de apoyo y soporte técnico es
opcional. Por último, el costo básico de € 500 incluye análisis sólo cualitativa. EBIOS, MEHARI y CORAS se proporcionan de
forma gratuita junto con su herramienta de apoyo correspondiente. MEHARI está soportado por la herramienta risicare, que
se distribuye por ERROR SA. Para el resto de los métodos, una variedad de herramientas de apoyo existe, con un rango de
precios entre 250-700 euros,
El anteriormente mencionado se resumen en la Tabla XIII.
Tabla XIII. De aceptación y el costo Criterios
Aceptación Costo
Método /
Cumplimiento de las normas gastos de apoyo coste del software
Criterios
ISO / IEC 27001, 154081: 2009,
EBIOS Gratis Gratis
21827: 2008
ISO / IEC ISO / IEC 27005: Abrir libre +
MEHARI Gratis
2011, 27001 fuente
OCTAVA N/A Gratis 1300 €
IT-Grundschutz ISO / IEC 27001 Gratis 860 €
ISO / IEC, 27002, 15408-1: Libre + Trial
MAGERIT 1500 €
2009, 27001 Versión
CRAMM ISO / IEC 27001 € € 1800- 3500 € € 1900- 3730
htrA N/A Gratis N/A
NIST SP800-30 ISO / IEC 27001 Gratis N/A
ISO / IEC 27001, Marco de Políticas
de Seguridad de la HMG, el conjunto de
control de línea de base definida por
HMG, PCI DSS, Código PSN de
RiskSafe Pagar por cada usuario En caso de contacto
conexión, Instituto SANS Top 20, la
nube de Cloud Security Alliance
Controls Matrix
CORAS ISO / IEC 27001, ISO31000 95 € Gratis
5.3 Facilidad de uso, Ciclo de Vida, Alcance, Enfoque
El método htrA se describe con pasos sencillos. Sin embargo, el manual del usuario es complicado y difícil de entender
por los no expertos. Además, la falta de profundidad técnica y directrices añade más dificultad para comprender el uso del
método. Como resultado, el nivel de facilidad de uso es considerado como insatisfactorio. CORAS es fácil de usar. A través
de la junta continua de las reuniones de los directores del método intenta reducir y controlar los errores posibles. Sin
embargo, añade complejidad ya que exige de los analistas de utilizar las habilidades que no tienen ninguna relación con los
sistemas de información, tales como habilidades de comunicación. En general, este método se considera fácil de entender y
utilizar. La desventaja, sin embargo, es la necesidad de una comunicación continua y la cooperación entre partes
relacionadas, ya que aumenta la complejidad del tiempo del proceso. Por lo tanto,
CRAMM sufre de la estricta normalización de cada paso. El método puede ser utilizado por personas no cualificadas,
sólo después de ser entrenado. Además, el método está limitado por su estricta normalización. El método facilita la detección
de errores, ya que al final de cada uno de los analistas de fase puede revisar los resultados. Por lo tanto, el nivel de
usabilidad se considera como relevante satisfactoria.
EBIOS es relativamente simple y fácil de entender. El hecho de que la documentación disponible sólo se proporciona
en el idioma francés se considera como una desventaja, ya que hace que el método difícil de aprender y utilizar, por lo tanto,
el nivel de facilidad de uso es considerado como insatisfactorio.
IT-Grundschutz requiere tanto la formación técnica y teórica. Esto se debe al hecho de que era parte de una norma, dirigida
a las personas con conocimientos especializados en el campo de la seguridad. Se divide el análisis de riesgos y evaluación
de riesgos en dos niveles, que
hace que sea más fácil de usar y se puede ajustar a sistemas con diferentes niveles de complejidad. Además, está apoyado
por directrices exhaustivas y documentación y esto nivela el fondo especializado requerido. nivel de usabilidad se considera
relativamente satisfactoria.
Tabla XIV. Criterios de utilidad: facilidad de uso, ciclo de vida y Alcance
Categoría:
Facilidad de uso Ciclo vital Alcance
Utilidad
Nivel general Última Organización objetivo de

Método / Criterios Lanzamiento enfoque
Usabilidad actualización
2004
EBIOS Insatisfactorio 1995 Pequeños y grandes REAL ACADEMIA DE BELLAS ARTES
(v2.0)
2010
MEHARI Insatisfactorio 1998 (MEHARI Pequeños y grandes RM
2010)
bastante 2005
OCTAVA 1999 Pequeñas y grandes RA / RM
satisfactorio (v2.0)
ESO- bastante 2005
1997 Pequeños y grandes RM
Grundschutz satisfactorio (v2.0)
bastante 2013
MAGERIT 1997 Pequeños y grandes REAL ACADEMIA DE BELLAS ARTES
Pequeñas y grandes (en
bastante 2011
CRAMM 1985 su mayoría grandes y REAL ACADEMIA DE BELLAS ARTES
gubernamental)
2007
htrA Insatisfactorio 2007 Pequeños y grandes RM
(TRA-1)
bastante 2002
NIST SP800 2002 Pequeños y grandes RM
satisfactorio (Rev. 2012)
Evaluación bastante 2012
2012 Pequeños y grandes REAL ACADEMIA DE BELLAS ARTES
RiskSafe satisfactorio (v1.0)
bastante
CORAS 2003 2010 Pequeños y grandes REAL ACADEMIA DE BELLAS ARTES
satisfactorio
MAGERIT ofrece documentos técnicos que facilitan la comprensión del método, tanto para los expertos y los que sólo
tienen antecedentes básicos de seguridad. Los pasos se consideran para ser simple y fácil de entender y apoyado por
documentación detallada. Sin embargo, ciertas secciones de la documentación no se han traducido del español, haciendo
referencia a la versión española de la documentación es una limitación considerable. Por lo tanto, su facilidad de uso se
considera como relativamente satisfactoria.
MEHARI es altamente dependiente en la creación de la base de conocimientos, que bastante complicado y requiere
mucho tiempo. El uso de la base de conocimientos aumenta la dificultad de uso del método y presenta dificultades en la
comprensión de todo el proceso. También, MEHARI sólo se puede utilizar con hojas o aplicaciones de cálculo
especializados, lo cual es una limitación. Por lo tanto, su nivel de usabilidad se considera como no satisfactorio.
NIST SP800 es un estándar, dentro de la cual se proporciona un procedimiento simple y flexible de evaluación de
riesgos. Se proporciona una documentación completa, que ayuda a la comprensión de la evaluación de riesgos. Durante la
primera fase de evaluación, los 2,3,4,6 pasos pueden tener lugar simultáneamente, proporcionando la opción de validación
de datos y la facilidad de manejo de errores. Por lo tanto, el nivel de usabilidad se considera relativamente satisfactoria.
Octava se basa en el conocimiento y la participación de los empleados de la organización. Proporciona documentación

suficiente que facilite la comprensión del método. Octava se considera simple que puede ser implementada incluso para los
expertos no son de seguridad. Por lo tanto, el nivel de usabilidad se considera como relevante satisfactoria.
RiskSafe es similar a CRAMM. Su documentación no se encuentra fácilmente, que se caracteriza como una limitación. Sin
embargo, el método es relativamente simple y puede ser comprendido incluso por usuarios experimentados no son de
seguridad. Se puede cumplir fácilmente con y apoyar a los estándares de seguridad y directrices gubernamentales. Además, la
facilitación de la colaboración entre los analistas proporciona una confrontación ad hoc de cualquier errores y suministro de
datos de realimentación. Por lo tanto, el nivel de facilidad de uso es considerado como relevante satisfactoria.
HtrA fue lanzado en 2007, sin embargo no se encontraron más actualizaciones desde entonces y el método no
proporciona ningún software / herramienta. Por el contrario, CORAS fue creado en 2003, pero en 2011 se actualizó,
sumando a salvaguardias fecha, las amenazas y vulnerabilidades. CRAMM se considera obsoleta, ya que fue actualizado en
2011. Se considera la última, sin embargo, más al día que htrA. EBIOS fue creado en 1995 y la última actualización fue en
2010, lo que se considera obsoleta.
IT-Grundschutz fue creado en 1997 y actualizó por última vez en 2005. Se considera obsoleto especialmente en
comparación con CRAMM y EBIOS, que se actualizaron en 2011, junto con sus correspondientes herramientas pasado. Hay
un gran número de herramientas de soporte de TI-Grundschutz, pero la mayoría no han sido actualizados desde 2004.
MAGERIT fue creado en 1997 y recientemente ha sido actualizada (2013), por lo que es el método más actualizado. Al mismo
tiempo, sus herramientas de apoyo a menudo se están actualizando para cumplir con los requisitos de seguridad modernas y
demandas.
De manera similar a EBIOS, MEHARI fue creado en 1998 y se actualizó por última en 2010. NIST SP800-30 se
considera obsoleta, ya que se actualizó en 2012 (que fue lanzado en 2001) pasado. Sin embargo, es el segundo método
más actualizado después de MAGERIT. OCTAVA fue creado en 1999 y actualizó por última vez en 2005. RiskSafe método
fue creado en 2012 y desde entonces, no se ha actualizado.
En resumen, MAGERIT, NIST SP800, CRAMM y RiskSafe son los métodos que han sido más recientemente
actualizados. Entre ellos, CRAMM aunque se considera como la más obsoleta, ya que el método y no parece que sus
herramientas de apoyo para recibir la misma cantidad de actualizaciones o atención por parte de la organización que
mantiene, en comparación con los otros tres métodos antes mencionados. MAGERIT se considera como el método más
actualizado. Por otra parte, EBIOS y MEHARI, a pesar de que no se han actualizado desde 2010, se sigue el apoyo activo de
las grandes organizaciones tales como CLUSIF Anssi.
5.4 Soporte de Software, Capacitación, Adaptabilidad
La mayoría de los métodos de ER que han sido examinados proporcionar software / herramientas que facilitan su uso. El htrA
y SP800 NIST son los únicos métodos que no proporcionaron una herramienta de este tipo. MEHARI sólo proporciona un
propósito integrado, hoja de cálculo de Microsoft Office Excel, que es a la vez restrictivas y desventajoso. Esto es cierto, ya
que la hoja de cálculo proporcionan una funcionalidad limitada en comparación con el software / herramienta. Como se señaló
anteriormente, existen varias herramientas que lo soportan-Grundschutz. Sin embargo, esto no implica que el método tiene
una ventaja sobre otros métodos, tales como CRAMM, MAGERIT, MEHARI y RiskSafe. Independientemente del número de
herramientas de apoyo, un método puede tener el nivel suficiente de apoyo con la herramienta menos o sólo un dedicado y
actualizada.
Estos métodos que han sido examinados requieren diferentes habilidades y experiencia de sus usuarios. Más
específicamente, MAGERIT, CORAS, MEHARI y la octava exigir a sus usuarios a tener experiencia en la evaluación de
riesgos y tener al menos la experiencia práctica en el campo de la seguridad. CRAMM y RiskSafe requieren conocimientos y
experiencia más especializada. EBIOS y NIST SP800-30 se adaptan a los administradores, pero también pueden ser
utilizados por la mayoría de los usuarios ya que contienen suficiente detalle para el análisis de riesgos y el proceso de la AR.
Sin embargo, no se incluyen los aspectos técnicos y organizativos y humanos de la seguridad de sistemas de información.
Todos los métodos mencionados anteriormente requieren que los usuarios tienen experiencia en la evaluación de riesgos.
El método htrA se centra en las personas que realizarán el proceso de análisis y evaluación. Contiene suficientes
detalles de implementación, pero sólo proporciona profundidad técnica limitada en comparación con otros métodos. El
método sólo requiere habilidades informáticas básicas para su uso. Por el contrario, IT-Grundschutz requiere nivel de
habilidad experto para su uso, experiencia y conocimientos en materia de seguridad específica y es adecuado principalmente
para su uso por personas con experiencia especializados, tanto técnicas como teóricas.
En cuanto a la flexibilidad y adaptabilidad de los métodos, htrA ha sido diseñado con el fin de ser flexible. Cada fase
contiene pasos claramente definidos, que están soportados por el uso de tablas. Se puede ajustar a las necesidades de
diferentes organizaciones y sus sistemas, independientemente de su tamaño y complejidad. Por otra parte, el procedimiento
de completar todas las tablas de valoración es una espada de doble filo, ya que los analistas experimentados consideran
esto como un lento y engorroso proceso. Aunque no está soportado por una herramienta, el método proporciona la
automatización. Por lo tanto, el método se considera como relativamente flexible.
CORAS utiliza su propio lenguaje de modelado y diagramas de soporte. Esto ayuda a la colaboración y la
comunicación iterativa, sin embargo, el pequeño conjunto de símbolos puede ser bastante restrictivo de su flexibilidad. El
hecho de que se apoya en una herramienta de código abierto se considera como una ventaja, ya que cada organización
puede ajustarlo a sus necesidades. La dependencia de sus diagramas sin embargo, disminuye la flexibilidad del método.
Esto es válido como analista tiene que utilizar un conjunto de diagramas restrictiva y debe tener experiencia en el uso de
UML. Así, el método se considera como no flexible.
CRAMM se considera no flexible debido a su estricta normalización en cada paso, que restringe los analistas. Además,
la dependencia de una sola herramienta, la herramienta CRAMM, que no es libre disminuye la flexibilidad del método.
El diseño modular de EBIOS, habilite el método que se puede adaptar fácilmente para ajustarse a las normas de
seguridad nacionales. El método puede ser utilizado tanto en el diseño de un sistema y en los sistemas de información
existentes. Además, está soportado por una herramienta libre, que es relativamente fácil de usar. Por lo tanto, el método es
relativamente flexible y un analista puede adaptar fácilmente a las necesidades de cada caso de uso.
El enfoque de dos niveles de IT-Grundschutz permite escalar el método en diferentes sistemas de tamaño y
complejidad. Desventajosa se juzga el hecho de que se requiere formación especializada para el uso del método. Por lo
tanto, la metodología se considera como relativamente flexible.
MAGERIT cubre todos los aspectos de un proceso de análisis de riesgo completo. El método presenta un
procedimiento RA flexible que se puede aplicar tanto cualitativa como cuantitativamente. El método también proporciona el
cálculo de los tres tipos de riesgos, mientras que otros, como CRAMM, la EBIOS o MEHARI calculan único. Además, las
amenazas pueden ser estimados, ya sea por el uso de tablas o algorítmica. Desventajoso se considera el hecho de que el
método sólo se puede aplicar mediante el uso de la herramienta EAR / Pilar pero sin embargo se considera como
relativamente flexible.
Tabla XV. criterios de utilidad: soporte de software, capacitación, Adaptabilidad
Categoría:
Soporte de software Formación Adaptabilidad
Utilidad
Usuario s *
Método / Criterios Software Flexibilidad
METRO O T
relativamente
EBIOS herramienta EBIOS ✓✓ ✓
flexible
MEHARI 2010 Herramienta básica relativamente
MEHARI ✓✓ ✓
(Gratuito), RISCCARE flexible
relativamente
OCTAVA Papeleta de resolución ✓✓ ✓
flexible
BSI - GSTOOl, HiScout SME, Guardar,
IGSDoku, Secu-Max, Línea de relativamente
IT-Grundschutz X X ✓
Base-Herramienta, flexible
PCCheckheft
relativamente
MAGERIT μPilar, Pilar Basic, Pilar ✓✓ ✓
flexible
experto CRAMM, CRAMM
CRAMM ✓✓ ✓ sin Flexibilidad
exprimir
relativamente
htrA N/A X X ✓
flexible
relativamente
NIST SP800 N/A X ✓ ✓
flexible
Evaluación relativamente
Herramienta SaaSRiskSafe ✓✓ ✓
RiskSafe flexible
CORAS Herramienta CORAS ✓✓ ✓ sin Flexibilidad
Nota: M se refiere a la gestión, O para Operacional, T para técnicos. Gestión significa que las directrices se dan a un nivel muy genérico,
operacional que las directrices contienen detalles sobre la aplicación adecuada para la mayoría de usuarios y técnicos significa que las directrices
contienen detalles técnicos en su mayoría.
MEHARI describe un proceso complejo que depende de la creación de una base de conocimientos altamente. Está
diseñado para utilizar la base de conocimientos, lo que significa que sólo se puede utilizar en conjunción con una herramienta
especial o una hoja de cálculo dedicada diseñada por esta razón. El método dedica suficiente tiempo en la creación de una
base de conocimientos. La excesiva dependencia de los que se considera como desventaja. El método proporciona pasos
relativamente flexibles para la fase de RA, ya que permite que el analista hacer los cambios necesarios para que se adapten
a las necesidades de la organización. A pesar de la dependencia de la creación y uso de la base de conocimiento del proceso
de RA se considera como siendo relativamente flexible.
NIST SP800 proporciona un método de gestión de riesgos genérico, que se basa en la experiencia y los conocimientos
de los analistas poseen y su cooperación con los operadores de la gestión y del sistema. Por lo tanto, permite a un
relativamente grande flexibilidad para el analista. Además, proporciona directrices genéricas que se pueden adaptar a las
necesidades de una organización. Por estas razones, el método descrito en NIST SP800 se considera como relativamente
flexible.
OCTAVA se puede adaptar a las necesidades de cada organización, al tiempo que proporciona diferentes versiones
que tengan en cuenta el tamaño de la organización y la complejidad. Los pasos del método se consideran relativamente
flexible, lo que permite la adaptación a la
proyecto, basado únicamente en los recursos disponibles de la organización. OCTAVA también permite la participación de
expertos externos, mientras que dependen de las habilidades de los empleados de la organización. A diferencia de otros
métodos, tales como CRAMM, MAGERIT o MEHARI, que no incluye la etapa de mitigación de riesgos y la recomendación de
salvaguardias. En general, es un método relativamente flexible, capaz de adaptarse a cualquier situación específica.
El RiskSafe asemeja CRAMM. Sin embargo, el método es compatible con el procesamiento de colaboración del análisis
de riesgos a través de la nube y puede soportar fácilmente diferentes normas más allá de la norma ISO / IEC 27001. La
empresa que mantiene el método proporciona una guía para el cumplimiento de otras normas de seguridad y cómo puede el
análisis de riesgos fácilmente llevarse a cabo con 10 pasos. La herramienta que apoya el método permite la adición de
opciones y editar los parámetros existentes, tales como la adición o amenazas de edición. El método es relativamente flexible.
En general, como los resultados sugieren que la mayoría de los métodos que han sido analizados proporcionar un nivel
suficiente de flexibilidad. No obstante, vale la pena señalar que MAGERIT y RiskSafe sugieren una valoración bastante flexible de
riesgo, al tiempo que proporciona las herramientas adecuadas para apoyarlo. RiskSafe es única, ya que proporciona la evaluación de
riesgos de cooperación a través de la nube. MAGERIT es el único método que es compatible tanto con el análisis de riesgos
cualitativa y cuantitativa y también es apoyado por una herramienta bastante versátil.
5.5 Caso de estudio
En esta subsección se demuestra la selección de un método basado en la AR los criterios propuestos para la
comparación. El estudio de caso se refiere al sector de las PYME en el Reino Unido, donde basa en la literatura (Henson y
Garfield 2016) que necesitamos para convertir las estimaciones del sector en relación con los criterios, en el ranking entre ellos.
Con este fin, se utiliza el proceso analítico jerárquico (AHP) (Smojver 2011), un método que se puede utilizar para hacer
frente a los problemas relacionados con las selecciones basadas en múltiples criterios. Se supone que una PYME utiliza
AHP para seleccionar el método apropiado para la evaluación de riesgos, teniendo en cuenta los criterios propuestos:
validez, cumplimiento, costos y utilidad. Por razones de legibilidad, se supone que el SME está considerando solamente
CRAMM, CORAS, MEHARI y Octave como alternativas disponibles para la selección del método.
Inicialmente AHP se aplica para clasificar los cuatro criterios antes mencionados. Entonces, se aplica el mismo proceso
para clasificar los métodos para cada criterio. Con el fin de clasificar los criterios, AHP requiere que se define la importancia
relativa entre los criterios. Sobre la base de Henson y Garfield (2016) de trabajo, definimos la siguiente importancia relativa
entre los criterios: (a) “costo” es dos veces más importante que la “validez”, como el intento PYME para limitar los gastos, (b)
“validez” es dos veces más importante que la “utilidad”, (c) “Costo” es cuatro veces más importante que el “cumplimiento”, ya
que consideran que las normas son importantes sólo para las grandes empresas, (d) “Utilidad” es dos veces más importante
que “ cumplimiento”, (e)‘validez’es tres veces más importante que el‘cumplimiento’, y (f)‘costo’es tres veces más importante
que la‘utilidad’. La siguiente matriz (Fig.
Figura 1: Matriz de importancia relativa
Multiplicando la matriz con sí obtenemos el vector propio que contiene la clasificación de los criterios.
A continuación, añadimos la suma de cada fila y normalizar los valores por medio de buceo cada suma con el total.
El resultado clasifica a los criterios con el siguiente orden: (a) el costo, (b) Validez, (c) Utilidad, y (d) El cumplimiento.
Después, se aplica el mismo procedimiento para cada criterio para las alternativas disponibles (es decir, los métodos
RA) a fin de clasificar de manera apropiada. Demostramos el proceso para el criterio utilidad. Nosotros, de nuevo, definimos
la siguiente importancia relativa entre las alternativas: (a) octava es dos veces más útil que CORAS, (b) octava es dos veces
más útil que CRAMM, (c) CRAMM es dos veces más útil que MEHARI, ( d) CORAS y CRAMM se considera que tienen el
mismo nivel de utilidad entre ellos, (e) CORAS es dos veces más útil que MEHARI, y (f) octava es dos veces más importante
que MEHARI. La siguiente matriz (Fig. 2) está formada en base a la antes mencionada.
Multiplicando la matriz se produjo con la misma obtenemos el vector propio que contiene la clasificación de los métodos
alternativos. Para Utilidad, las alternativas se clasifican con el siguiente orden: (a) OCTAVE, (b) CORAS, (c) CRAMM, y (d)
MEHARI.
Figura 2: Utilidad matriz importancia relativa
Aplicando el mismo enfoque para cada criterio, obtenemos el resultado final del proceso de clasificación que se
presenta en la Figura 3. Esto permite que una PYME para elegir el método de RA deseada en base a los criterios que la
empresa considera como lo más importante. En este estudio de caso, MEHARI sería una selección deseable, con CORAS
ser segundo en el ranking, basado en los requisitos establecidos por una empresa tal, ya que los primeros puestos en el
criterio “Cost”.
Figura 3: criterios de clasificación
6. CONCLUSIONES
Este trabajo examina y presenta un conjunto de criterios para la comparación de métodos / RM AR, que se identificó como
una necesidad por el estado de la revisión técnica. Los criterios permiten a los analistas y organizaciones para determinar
qué método es el mejor para sus necesidades. Los criterios propuestos se agrupan en cuatro categorías: validez, de
aceptación, de costes y utilidad. Cada categoría incluye más sub-criterios que se utilizan para comparar diez métodos de ER
ampliamente usados. La selección de los métodos se hizo en relación con los factores específicos, como su popularidad, por
ejemplo, el uso de organizaciones y gobiernos, organismos, tales como NIST, o los organismos de normalización, como la
ISO y reconocimiento por parte de la comunidad científica pertinente.
directrices implícitas sobre cómo las organizaciones deben seleccionar el método más adecuado RA basado en criterios de
comparación no se encuentra en la literatura. Por consiguiente, este trabajo demuestra un método de clasificación utilizando los
criterios propuestos para la comparación. La clasificación se ajusta de acuerdo a las necesidades de cada organización. Esto es
cierto ya que las necesidades de seguridad de las organizaciones varían en función de factores, tales como el tipo, el tamaño o el
medio ambiente que operan, que afecta a la importancia de cada criterio. Los resultados de la comparación de los métodos de
ER, que se resumen en las Tablas XIII a XVI, pueden ser utilizados por una organización como entrada en un método de
clasificación (por ejemplo, AHP) con el fin de seleccionar la más
método apropiado adaptado a sus necesidades. En nuestro trabajo, este ranking se demuestra en un estudio de caso de las
PYME en el Reino Unido utilizando el Proceso Analítico Jerárquico.
Para el trabajo futuro, tenemos la intención de evaluar los criterios que se han presentado en este trabajo en conjunto
con AHP mediante organizaciones del sector público y privado con el fin de examinar la importancia de cada criterio en
cuanto a su tipo y también verificar que el método indicado se adapte a sus necesidades.
EXPRESIONES DE GRATITUD
Los autores desean agradecer a Christina Saravanou y George Antoniou por su ayuda durante las primeras etapas de
la elaboración de este documento.
Referencias
Ene Øyvind Aagedal, Folker den Braber, Theo Dimitrakos, Bjørn Axel Gran, Dimitris Raptis, y Ketil
Robado. 2002. evaluación de riesgos basado en modelos para mejorar la seguridad de la empresa. En Actas de la sexta empresa distribuida
Objeto de conferencia Computing, 2002, 51-62.
Walid Al-Ahmad y Mohammad Bassil. 2013. abordar los riesgos de seguridad de la información mediante la adopción de
Normas. En International Journal of Information Security Science, vol. 2, No. 2. Christopher Alberts y Audrey Dorofee. 2003.
Introducción al Enfoque OCTAVA. Pittsburgh, PA,
Universidad de Carnegie mellon.
MA Amutio, J Candau, y J Mañas. 2014. MAGERIT- versión 3, Metodología para Sistemas de Información
Análisis de Riesgos y Gestión, Libro I - el método, Ministerio de Administraciones Públicas. ANSSI: Agencenationale de la sécurité des
sistemas d' información. 2010. ebios 2010 - expresión de las necesidades
y la identificación de objetivos de seguridad. Consultado el 25 de de julio de, 2014, frente
http://www.ssi.gouv.fr/en/theanssi/publications-109/methods-to-achieve-iss/
ASIS Comisión Directrices internacionales. 2003. Evaluación general de riesgos de seguridad: una ASIS Internacional
Guía. Alexandria, Virginia: ASIS International. Miroslav Baca. 2006. La evaluación del riesgo
de la seguridad del sistema de información.
Kakoli Bandyopadhyay, Peter P Mykytyn, y Kathleen Mykytyn. 1999. Un marco para la integral del riesgo
gestión de tecnología de la información. Manag. Decis. 37 (5), 437-445.
Kristian Beckers, Heisel Maritta, Solhaug Bjørnar y robados Ketil. Un método estructurado para establecer
un sistema de gestión de la información compatible con la seguridad ISO 27001. En Ingeniería asegurar el futuro de Internet Servicios y
Sistemas, Springer International Publishing, 315-344.
RM en blanco y PD Gallagher. 2012. NIST Special Publication 800-30 Revisión 1 Guía para la realización de Riesgo
Evaluaciones.
Alan Calder y Steve G Watkins. la gestión de riesgos de seguridad de 2010. Información para ISO27001 / ISO27002. Eso
Gobernabilidad Ltd.
PL Campbell y sello JE. 2004. Un esquema de clasificación para los métodos de evaluación de riesgo. Estados Unidos.
Departamento de Energía.
RA Caralli, JF Stevens, LR Young, y WR Wilson. 2007. La OCTAVA Allegro Guía, v1. 0, Software
Instituto de Ingeniería.
CERT (Computer Emergency Response Team). 2008. Octave (amenaza de vista operativo crítico, activo, y
evaluación de la vulnerabilidad). Consultado el 25 de de julio de, 2014, frente http://www.cert.org/octave CLUSIF: Club de la Sécurité de
l'information Français. 2010. Mehari: análisis de riesgos de la información y
metodología de gestión. Consultado el 27 de de julio de, 2014, frente http://www.clusif.asso.fr/en/production /mehari/index.asp
Herramienta CORAS, la herramienta coras. 2012. Consultado el 14 de agosto a partir http://coras.sourceforge.net/coras_tool.htm CRAMM: Gobierno del
Reino Unido, el Servicio de Seguridad. 2010. Guía del usuario CRAMM, Edición 5.2. CSE: Communications Security Establishment. 2007. Amenaza
armonizado y Evaluación de Riesgos (TRA)
Metodología, TRA-1.
Sadegh Derakhshandeh y Nasser Mikaeilvand. 2011. Nuevo Marco Para obtener información comparativa
Evaluación de riesgos de seguridad. Metodologías Australian Journal of Ciencias básicas y aplicadas, 5 (9), 160-
166.
Tianxi Dong y Surya Yadav. 2014. Un marco global para comparar la seguridad del sistema
Métodos de evaluación. En América XX Conferencia sobre Sistemas de Información. ENISA. 2006. Gestión de Riesgos: Principios de
ejecución y los inventarios para la gestión de riesgos / Riesgo
Métodos de evaluación y herramientas. Disponible: https://www.enisa.europa.eu/topics/threat-risk-
/ De gestión de riesgos de gestión / riesgo actual / riesgo-gestión de inventario / rm-ra-métodos
ENISA adhoc grupo de trabajo sobre la evaluación de riesgos y gestión de riesgos. 2006. Evaluación de Riesgo y Riesgo
Métodos de gestión: Los paquetes de información para pequeñas y medianas empresas (PYME), 12-20. ENISA.
2012. Introducción al Retorno de la Seguridad Inversión [EN LÍNEA]. Disponible:
http://www.enisa.europa.eu/activities/cert/otherwork/introduction-to-return-on-security-investment. Baruch Fischhoff, Sara Lichtenstein,
Paul Slovic, Stephen L. Derby, Ralph L. Keeney. 1984. Riesgo aceptable.
Prensa de la Universidad de Cambridge.
WM Garrabrants, AW Ellis, LJ Hoffman, M Kamel, y Washington DC. 1990. Certificados •: un comparativo
Método de evaluación de riesgo para las metodologías y herramientas de gestión. En Conferencia de Aplicaciones de Seguridad Informática,
Actas de la sexta edición, IEEE, 251-257.
BSI alemana. 2014. Las normas BSI 100-1, 100-2, 100-3, 100-4. Obtenido 26 de julio a partir https: //
www.bsi.bund.de/EN/Publications/BSIStandards/standards.html
Yacov Y Haimes, Nicholas C Matalas, James H Lambert, Bronwyn A Jackson y James FR Fellows. 1998.
Reducir la vulnerabilidad de los sistemas de abastecimiento de agua para atacar. Diario de sistemas de infraestructura, 4 (4), 164-
177.
Sharon Halliday, Karin Badenhorst, y Rossouw Von Solms. 1996. Un enfoque de negocios a efectivo
análisis de riesgos y gestión de tecnología de la información. En Gestión de Información y Seguridad Informática, 4 (1), 19-31.
Richard Henson y la alegría de Garfield. 2016. Los cambios que actitud son necesarias para causar PYME para tomar una
Enfoque Estratégico para la Seguridad de la Información •? En Atenas Journal of Business and Economics, 2 (3), 303-
318.
Siv Hilde Houmb. 2007. decisión en materia de elección de la solución de seguridad: El Riesgo orientado a aspectos Driven
Desarrollo (AORDD) Marco. Tesis doctoral, Universidad Noruega de Ciencia y Tecnología, Trondheim, Noruega.
Gestión de la Seguridad de la Información. 2013. Informe ISMS-CORAS •: Un método estructurado para. (2013). Dan Ionita. 2013. Las metodologías actuales
de evaluación de riesgo establecidos y herramientas. Tesis de Maestría, Universidad
de Twente, Enschede, Holanda.
Stuart W Katzke. 1988. Una perspectiva del gobierno en la gestión de riesgos de los sistemas automatizados de información.
En Actas de 1988 Computer Security Risk Management Modelo Constructores taller, 3-20.
KVD Kiran, LSS Reddy, y N. Lakshmi Hariza. 2013. Un análisis comparativo de los modelos de seguridad de la información de evaluación
de riesgos. En Informativo Diario de Aplicaciones Informáticas, 82, 9, 41-47. Barbara Kitchenham, Stephen Linkman, y David Ley. 1997.
DESMET: una metodología para evaluar
software de métodos y herramientas de ingeniería. Computación & Ingeniería de Control Journal, 8, 3, 120-126. Matus Korman, Teodor
Sommestad, Jonas Hallberg, Johan Bengtsson, y Mathias Ekstedt. 2014.
Visión general de la información empresarial de Necesidades en la Evaluación de Riesgos de Seguridad. En Distributed Computing
Empresa Objeto de conferencia (EDOC), IEEE 18a Internacional, IEEE, 42-51. Jake Kouns y Daniel Minoli. La tecnología de gestión de
riesgos 2010. La información en entornos empresariales:
Una revisión de las prácticas de la industria y una guía práctica para la gestión de riesgo de los equipos. John Wiley & Sons. Sharman Lichtenstein.
1996. Los factores en la selección de un método de evaluación de riesgos. en la Información
Gestión y seguridad informática. 4, 20-25.
David López, Oscar Pastor, Luis Javier y García Villalba. 2013. Dinámica de evaluación de riesgos en la información
sistemas: Estado-of-the-art. En Actas de la 6ª Conferencia Internacional sobre Tecnología de la Información, de Amman.
Masa Soldal Lund, Bjørnar Solhaug y Ketil robados. 2011. análisis de riesgos basada en modelos: el CORAS
enfoque. Springer Ciencia y Business Media.
Filipe Macedo y Miguel Mira Da Silva. Evaluación de Riesgos de 2012. Estudio comparativo de la Seguridad de la Información
Modelos, Instituto Superior Técnico, UniversidadeTécnica de Lisboa, Lisboa, Portugal. Daniel Mellado, Eduardo Fernández-Medina y
Mario Piattini. 2007. A la seguridad de criterios comunes basados
requisitos de proceso de ingeniería para el desarrollo de sistemas de información seguros. estándares e interfaces de computadora, 29
(2), 244-253.
Miley W Merkhofer. 1985. Un enfoque para la evaluación de riesgos sanitarios asociados con el ambiente Alternativa
Normas de calidad del aire. En la Evaluación de Impacto Ambiental, Evaluación de Tecnología y Análisis de Riesgos. Springer,
691-722.
Robert R Moeller. 2004. Sarbanes-Oxley y las nuevas normas de auditoría interna. John Wiley & Sons. Girish Karunakaran Nair. 2013.
Influencia de Factores de Evaluación de Riesgos en el rendimiento de Turismo en
Qatar: un estudio empírico. American Journal of Turismo Research, 2 (2), 141-153. OTAN: Organización del Tratado del Atlántico Norte. 2008.
La revisión de las metodologías existentes, en la seguridad Mejorar
Análisis de Riesgos, TR-IST-049.
Michael Nidd, Marieta Georgieva Ivanova, Christian W Probst, Axel Tanner, Ryan Ko, y Raymond Choo.
2015. evaluación del riesgo basada en la herramienta de infraestructuras de nube como sistemas socio-técnicos. Syngress ecosistema de seguridad en la nube.
NIST S 800-30. 2012.Guide para la realización de evaluaciones de riesgos. 800-30. 1. Revisión T William Olle, AA Verrijn Stuart, y el Amor
Bhabuta. 1988. Asistencia Computarizada durante el
los sistemas de información del ciclo de vida: actas de la Conferencia de Trabajo IFIP WG 8.1 en Computarizada
Asistencia durante el Ciclo de Vida de Sistemas de Información, CRIS 88, Egham, Inglaterra, 19-22 de septiembre
1988. Holanda del Norte.
Liuxuan Pan y Allan Tomlinsont. 2016. Una revisión sistemática de la Evaluación de Riesgos de Seguridad.
Revista Internacional de Ingeniería de Seguridad y Protección. 6 (2), 270-281.
Santosh K Pandey. 2012. Un estudio comparativo de las metodologías de evaluación de riesgo de los sistemas de información.
Boletín de Ingeniería Eléctrica e Informática 1 (2), 111-122.
Ajustados platino. 2014. Evaluación RiskSafe-Cloud Evaluación de Riesgos base. Obtenidas el 28 de julio a partir de
http://risksafe.co.uk/Usage/Operation
Dimitris Raptis, Theo Dimitrakos, Bjørn Axel Gran, y Ketil robados. 2002. El enfoque CORAS de modelo-
gestión de riesgos basada aplica al dominio de comercio electrónico. En Comunicaciones Avanzadas y Seguridad Multimedia. Springer,
169-181.
Atle Refsdal, Bjørnar Solhaug y Ketil robados. 2015. gestión Cyber-riesgo. En Administración de Cyber-Riesgo.
Springer, 33-47.
Mateo Rosenquist. 2009. Los riesgos de seguridad priorizando información con la evaluación de riesgos agente de amenaza. Intel
Corp. blanca de Papanicolaou. (2009).
Thomas L Saaty. 1988. ¿Cuál es el proceso analítico jerárquico? En Modelos matemáticos para la toma de decisiones.
Springer, 109-121.
Mario Sajko, Nikola Hadjina y Darija Pesut. 2010. multicriterio modelo para la evaluación de la información
riesgo para la seguridad métodos e instrumentos de evaluación. En MIPRO, 2010 Actas de la 33ª Convención Internacional, 1215-1220.
Markus Schumacher, Eduardo Fernández-Buglioni, Duane Hybertson, Frank Buschmann, y Peter

Sommerlad. 2013. Los patrones de seguridad: La integración de la seguridad y la ingeniería de sistemas. John Wiley & Sons. Louis Shallal.
2013. Un enfoque generalizado de evaluación de la amenaza de Riesgos (TRA). Papel blanco. Alireza Shameli-Sendi, Rouzbeh
Aghababaei-Barzegar, y Mohamed Cheriet. 2016. Taxonomía de
evaluación de los riesgos de seguridad de la información (ISRA). Computadoras y Seguridad, 57, 14-30. Slaven Smojver. 2011. La selección del método de
información de gestión de riesgos de seguridad usando analítico jerárquico
proceso (AHP). En CECIIS-2011.
Diomidis Spinellis, Spyros Kokolakis, y Stefanos Gritzalis. 1999. requisitos de seguridad, riesgos y
recomendaciones para pequeños entornos de empresa y los autónomos. Gestión de la Información de Seguridad en Computadoras. 7
(3), 121-128.
Gary Stoneburner, Alice Y Goguen, y Alexis Feringa. Guía de gestión de 2002. Riesgo para la información
sistemas de tecnología. publicación Nist especial, 800 (30).
Ali Sunyaev-. 2011. Análisis de Análisis de Seguridad es enfoques, health-care telemática en Alemania:
Diseño y aplicación de un método de Análisis de Seguridad, GABLER, 83-117.
Amril Syalim, Yoshiaki Hori, y Kouichi Sakurai. 2009. Comparación de los métodos de análisis de riesgos: Mehari,
magerit, NIST800-30 y guía de gestión de seguridad de Microsoft. En disponibilidad, fiabilidad y seguridad, 2009. ARES'09.
Conferencia Internacional sobre, 726-731.
Liesl Van Niekerk y Les Labuschagne. 2006. El modelo peculium: información de gestión de riesgos de seguridad
para la MIPYME de Sudáfrica.
Anita Vorster y LES Labuschagne. 2005. Un marco para comparar diferentes riesgos de seguridad de la información
metodologías de análisis. En las actas de la conferencia anual de investigación de 2005, del Instituto Sudafricano de informáticos y
tecnólogos de la información sobre la investigación de TI en los países en desarrollo, 95-103.
Gaute Wangen. 2017. Seguridad de la Información de Evaluación de Riesgos: Una comparación de métodos. En Computer 50 (4),
52-61.
Gaute Wangen, Christoffer Hallstensen, y Einar Snekkenes. 2016. Un marco para la estimación
seguridad de la información método de evaluación del riesgo de integridad. Revista Internacional de Seguridad de la Información, 1-19.
Zeki Yazar. 2002. Un análisis y gestión de riesgos cualitativa herramienta - CRAMM, GSEC, Versión 1.3, de la parte
de la Sala de Lectura de seguridad de la información.
Emmanuele Zambon, Sandro Etalle, Roel J Wieringa, y Pieter Hartel. 2011. cualitativa del riesgo basado en modelos
evaluación de la disponibilidad de las infraestructuras de TI. Sistemas de software Modelo. 10 (4), 553-580.

1070 3895 1 PB

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

1070 3895 1 PB

Caricato da

Copyright:

Formati disponibili

39

Al salir del laberinto Evaluación de Riesgos: Un meta-encuesta

(Autores aparecen en orden alfabético)

Descriptor de Sujeto y Categorias: A.1 [introductoria y la encuesta]

Condiciones generales: la seguridad, la evaluación de riesgos

ENISA ha desarrollado una “Registro de métodos de evaluación y gestión del riesgo”

3.1 criterios de selección de método

• ¿El enfoque de identificar los riesgos de seguridad de la información? Si no es así, excluir.

3.2 criterios de comparación

Impacto (Amenaza, Activos)

activo) = Expectativa de pérdida anual (Amenaza, Activos) = Probabilidad

Tabla I. Evaluación y criterios de comparación

Validez Conformidad Costo Utilidad

Preparación (1) Usabilidad (interfaz,

Cualitativo El cumplimiento de Soporte coste coste Organización de destino

Clase D adaptación del software

4. MÉTODOS DE EVALUACIÓN DE GESTIÓN / RIESGO RIESGO

Tabla II. Fases EBIOS (2010) Anssi

Tabla III. Fases MEHARI (2010) CLUSIF

empleados y consta de las fases que se resumen en la Tabla IV (Alberts et al.

Tabla IV. Fases de octava ( Alberts et al. 2003)

Tabla Fases V. IT-Grundschutz (alemán BSI 2014)

Tabla VI. Fases MAGERIT (Amutio et al. 2014)

Tabla VII. Fases Cramm (ENISA 2006)

Tabla VIII. Fases htrA (shallal 2013)

4.8 NIST SP800

Tabla IX. Fases SP800 NIST (NIST 2012)

4.9 Evaluación RiskSafe

Tabla X resume las fases de RiskSafe.

Fases RiskSafe Tabla X. (Platinum Squared 2014)

Tabla XI. Fases CORAS (Lund et al. 2011)

5. Comparación de los métodos de RA

5.1 Tipo de análisis, las fases de evaluación de riesgos y Clase

Tabla XII. Comparación de los métodos de ER basado en el criterio de validez

CRAMM ✓✓✓ ✓ UNA Cualitativo

Tabla XII resume la comparación de los métodos de ER bajo el criterio de validez.

5.2 Cumplimiento de las normas, Costos

El anteriormente mencionado se resumen en la Tabla XIII.

Tabla XIII. De aceptación y el costo Criterios

CORAS ISO / IEC 27001, ISO31000 95 € Gratis

5.3 Facilidad de uso, Ciclo de Vida, Alcance, Enfoque

Tabla XIV. Criterios de utilidad: facilidad de uso, ciclo de vida y Alcance

Nivel general Última Organización objetivo de

Octava se basa en el conocimiento y la participación de los empleados de la organización. Proporciona documentación

5.4 Soporte de Software, Capacitación, Adaptabilidad

Tabla XV. criterios de utilidad: soporte de software, capacitación, Adaptabilidad

5.5 Caso de estudio

Figura 1: Matriz de importancia relativa

Figura 2: Utilidad matriz importancia relativa

Figura 3: criterios de clasificación

Markus Schumacher, Eduardo Fernández-Buglioni, Duane Hybertson, Frank Buschmann, y Peter

Potrebbero piacerti anche