Investigación y Posgrado

Sitios de Interés

boton uncoma UNCOMA
boton pedco PEDCO
boton siu SIU Guaraní
boton mail Correo electrónico FAI
boton facebook FAI en Facebook
boton twitter FAI en Twitter  

En caso de emergencia médica dentro del Campus llamar a

vittal logo

0810-222-3090

Título: "Implementación de la metodología de análisis de riesgos propuesta por NIST-SP800-30 utilizando la metodología OSSTMM

Autor: Gastón Toth

Director: CC. Jorge Sznek

Carrera: Licenciatura en Ciencias de la Computación

Fecha de defensa: 27 de Mayo de 2014

Resumen:

Uno de los puntos más importantes dentro de la implementación de un Sistema de Gestión de la Seguridad de la Información es el análisis de riesgos. Es el proceso por el cual se determina el valor de los activos de información, la probabilidad de que una amenaza produzca un impacto negativo en alguno de los requerimientos de seguridad, tales como, confidencialidad, integridad y disponibilidad y también permite estimar las pérdidas en términos monetarios si no se implementan los controles necesarios para mitigar dichos riesgos.

Existen diferentes métodos para llevar a cabo un análisis de riesgos dentro de una organización. Diversas instituciones han desarrollado manuales de buenas prácticas, guías, metodologías y estándares para la evaluación de la seguridad de la información.

Dentro de las metodologías relacionadas con la evaluación de la seguridad se encuentra un desarrollo muy interesante llevado a cabo por ISECOM denominado OSSTMM (Open Source Security Testing Methodology Manual). Esta metodología ha sido creada por el Instituto de Seguridad y Metodologías Abiertas y una gran comunidad de colaboradores con el objetivo de encontrar un estándar a la hora de llevar a cabo la evaluación de la seguridad de la información. Varias características hacen que este manual sea el preferido de muchos profesionales como el estándar de facto. OSSTMM no es una metodología de análisis de riesgos, sino que lo es para la evaluación de la seguridad, sin tener en cuenta la subjetividad que se encuentra en la valoración de los activos y los riesgos.

En el presente trabajo se pretende lograr una metodología de análisis de riesgos basada en el estándar NIST-SP800-30 en el cual la fases de identificación de amenazas y controles sea implementada por la metodología OSSTMM. La combinación de ambas llevará a una metodología de análisis de riesgos que, preferentemente será compatible con los puntos indicados por la norma ISO/IEC 27005:2008.

Foto del día de la defensa con su tutor y el tribunal, integrado por los profesores Lic. Eduardo Grosclaude y Mg. Juan Luzuriaga

tesis toth

Ver otras tesis FaI ]