EAR / herramientas Entorno de análisis de riesgos

PILAR - Análisis y Gestión de Riesgos

Se analizan los riesgos en varias dimensiones: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad *e[(accountability)].

Para tratar el riesgo se proponen

• salvaguardas (o contra medidas)
• normas de seguridad
• procedimientos de seguridad

analizándose el riesgo residual a lo largo de diversas etapas de tratamiento.

Análisis de Impacto y Continuidad de Operaciones

Se analiza el efecto de las interrupciones de servicio teniendo en cuenta la duración de la interrupción.

Para tratar el riesgo se proponen

• salvaguardas (o contra medidas)
• elementos de respaldo (back up)
• planes de recuperación de desastres

analizándose el impacto residual a lo largo de diversas etapas de tratamiento.

RMAT (Risk Management Additional Tools)

Personalización de las herramientas.

Las herramientas se pueden personalizar en varios aspectos:

EVL - Perfiles de protección

Criterios de evaluación/acreditación específicos de ciertos sectores o de puntos de vista específicos.
Por ejemplo: leyes nacionales de protección de datos personales.

TSV - Perfiles de amenazas

Estableciendo la vulnerabilidad típica de los activos frente a las amenazas en diferentes entornos de operación.

KB - Protecciones adicionales

Detallando protecciones adicionales sobre ciertos tipos de activos. Se puede llegar a dar instrucciones al administrador del activo.

Estas herramientas permiten preparar y mantener personalizaciones, que se incorporan dinámicamente a la biblioteca, extendiéndola para adaptarse a un determinado contexto.

Las herramientas de personalización no están previstas para usuarios finales, sino para consultores y grandes organizaciones.

BLANCA - Gestión de Bibliotecas

Las bibliotecas EAR incorporan a título de conocimiento empotrado,

• una serie de clases de activos
• una serie de amenazas típicas
• una serie de salvaguardas normalizadas
• items estándar para una política de seguridad
• procedimientos estándar de seguridad

así como el conocimiento de

• cuán buena es una salvaguarda mitigando una amenaza

Estas bibliotecas permiten

al usuario de la herramienta:

concentrarse en la identificación y valoración de activos, amenazas y salvaguardas

al receptor de los informes:

usar una terminología común y comparar diferentes análisis de riesgos

al auditor:

leer el informe con una terminología estandarizada

Las herramientas de gestión de bibliotecas no son para el usuario final, sino para elaborar y mantener bibliotecas normalizadas.