ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

OCTAVE VRS CRAMM APOYO ISO 270001


Enviado por   •  26 de Mayo de 2011  •  1.722 Palabras (7 Páginas)  •  3.477 Visitas

Página 1 de 7

CRAMM VS OCTAVE

CONTENIDO

INTRODUCCIÓN

1. DESCRIPCIÓN METODOLOGÍAS

2. CUADRO COMPARATIVO

3. VENTAJAS Y DESVENTAJAS

CONCLUSIONES

BIBLIOGRAFIA

INTRODUCCIÓN

Las organizaciones dependen de los sistemas (Sofware), para el funcionamiento y el logro de sus objetivos estratégicos alineados con el negocio, debido a la evolución de la tecnología han crecido en tamaño y complejidad ocasionando que las organizaciones procuren mantenerse en situaciones de competitividad

lo que ha provocado en las empresas una respuesta en firme por incrementar su calidad como una premisa necesaria para no perder competitividad. En los últimos años han surgido metodologías y estándares para medir el grado de madurez del proceso de desarrollo de software de una compañía, entre los cuales se encuentran el CMM y el OCTAVE.

Las comunicaciones entre equipos informáticos es un campo tan complejo que parece obvio el que se estén realizando constantemente arduos esfuerzos para la racionalización de las mismas. Para ello, en la informática, como en el resto de las ciencias, se procede al establecimiento de normalización, es decir, el consenso de todos o la mayoría de los participantes implicados en una determinada área sobre las especificaciones y criterios a aplicar de manera consistente en la elección y clasificación de los dispositivos, procesos y servicios.

Las ventajas que introduce una determinada normalización se traducen en una mejor relación calidad/precio, compatibilidad e interoperabilidad entre equipos y servicios, simplificación del uso, reducción del número de modelos y de los costes, así como una facilidad en el mantenimiento. Por su parte, también se pueden encontrar ciertas desventajas en la normalización entre las que cabe destacar su tendencia a ralentizar el avance de las tecnologías. Así, que una empresa alcance una determinada normalización puede suponer en la mayoría de los casos una actividad lenta y compleja, principalmente debido a la necesidad de contemplar cuatro etapas claramente diferenciadas como son la definición, desarrollo, revisión y promulgación. "Aspectos que por otra parte, resultan claves para el éxito de implementación de un estándar o una metodología", explica Juan Pedro López, consultor senior de Socintec.

Las organizaciones deben saber identificar de forma clara las necesidades de seguridad de la información, existen técnicas o herramientas flexibles de planificación y consultorías estratégicas de la seguridad basada en la valoración de riesgos, de acuerdo a la técnica seleccionada para darle aplicabilidad.

OCTAVE presenta una divergencia respecto a la consultoría en tecnología de los temas tácticos el principal objetivo es e riesgo organizacional es decir se enfatiza en los temas de estrategia y la práctica alineando los riesgos operativos las practicas de seguridad y la tecnología, basados en los riesgos de confidencialidad, integridad y disponibilidad de los activos críticos.

1. DESCRIPCIÓN METODOLOGÍAS

1.1 CRAMM

Cramm proporciona un enfoque disciplinado y organizado en función de la seguridad, abarcando aspectos tanto técnicos como no técnicos, por ejemplo, la infraestructura tecnológica, programas informáticos, las personas, la infraestructura física, etc. A fin de evaluar estos componentes, Cramm se divide en tres etapas: La identificación y valoración de activos, la evaluación de amenazas y vulnerabilidades y la selección de contramedidas y las recomendaciones. La primer etapa es la identificación y valoración de activos, aquí se busca identificar donde se ubican los activos que componen los sistemas de información para luego valorar cada uno de estos activos. Los activos que se incluyen son, equipos de cómputo, los paquetes de aplicaciones (Software), la información contenida en los sistemas de TI. Luego se determina su valoración de la siguiente manera, Los activos físicos se valoran en términos de costo de reemplazo. Los Datos y activos de software se valoran en términos de las consecuencias que se derivarían si la información que contienen no estuviera disponible, se destruyera, se divulgara o se modificara. La segunda etapa es la Evaluación de amenazas y vulnerabilidades,

como su nombre lo indica busca identificar amenazas y vulnerabilidades a las que la organización podría estar expuesta y su probabilidad de ocurrencia, cubre toda la gama de amenazas deliberadas o accidentales que puedan afectar a los sistemas de información, incluyendo entre otros, Hacking, Virus

Fallos de equipos o de programas, Daños a causa de desastres ambientales, terrorismo, errores de las personas, etc. Por ultimo nos encontramos con la etapa de La selección de contramedidas y recomendaciones, esta etapa concluye con el cálculo del nivel del riesgo subyacente o real. A partir de los riesgos determinados en la etapa anterior, estos son asociados con cada una de las contramedidas que Cramm contiene, a fin de determinar si los riesgos son lo suficientemente grandes para justificar la instalación de una contramedida en particular.

1.2 OCTAVE

Octave es un modelo para la creación de metodologías de análisis de riesgos desarrollados por la Universidad de Carnegie Mellon. El núcleo central de Octave es un conjunto de criterios (principios, atributos y resultados) a partir de los cuales se pueden desarrollar diversas metodologías. Cualquier metodología que aplique los criterios puede considerarse compatible con el modelo OCTAVE. Las tres metodologías publicadas por el software Engineering Institute (SEI) de la universidad Carnegie Mellon son Octave: La metodología original, definida para grandes organizaciones. OCTAVE-S: Metodología definida para pequeñas organizaciones y OCTAVE ALLEGRO: Metodología definida analizar riesgos con un mayor enfoque en los activos de información, en oposición al enfoque en los recursos de la información.

Para que una empresa comprenda cuáles son las necesidades de seguridad de la información, OCTAVE es una técnica de planificación y consultoría estratégica en seguridad basada en el riesgo. En contra de la típica consultoría focalizada en tecnología, que tiene como objetivo los riesgos tecnológicos y el foco en los temas tácticos, el objetivo de OCTAVE es el riesgo organizacional y el foco son los temas relativos a la estrategia y a la práctica. Cuando

...

Descargar como (para miembros actualizados) txt (12 Kb) pdf (91 Kb) docx (15 Kb)
Leer 6 páginas más »
Disponible sólo en Clubensayos.com