 |
 |
EAR / herramientas Entorno de análisis de riesgos |
PILAR - Análisis y Gestión de Riesgos
Se analizan los riesgos en varias dimensiones: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad (accountability).
Para tratar el riesgo se proponen
- salvaguardas (o contra medidas)
- normas de seguridad
- procedimientos de seguridad
analizándose el riesgo residual a lo largo de diversas etapas de tratamiento.
Análisis de Impacto y Continuidad de Operaciones
Se analiza el efecto de las interrupciones de servicio teniendo en cuenta la duración de la interrupción.
Para tratar el riesgo se proponen
- salvaguardas (o contra medidas)
- elementos de respaldo (<em>back up</em>)
- planes de recuperación de desastres
analizándose el impacto residual a lo largo de diversas etapas de tratamiento.
RMAT (Risk Management Additional Tools)
Personalización de las herramientas.
Las herramientas se pueden personalizar en varios aspectos:
- EVL - Perfiles de protección
-
Criterios de evaluación/acreditación específicos de ciertos sectores o de puntos de vista específicos.<br> Por ejemplo: leyes nacionales de protección de datos personales.
- TSV - Perfiles de amenazas
-
Estableciendo la vulnerabilidad típica de los activos frente a las amenazas en diferentes entornos de operación.
- KB - Protecciones adicionales
-
Detallando protecciones adicionales sobre ciertos tipos de activos. Se puede llegar a dar instrucciones al administrador del activo.
Estas herramientas permiten preparar y mantener personalizaciones,
que se incorporan dinámicamente a la biblioteca, extendiéndola para adaptarse a un determinado contexto.
Las herramientas de personalización no están previstas para usuarios finales, sino para consultores y grandes organizaciones.
BLANCA - Gestión de Bibliotecas
Las bibliotecas EAR incorporan a título de conocimiento empotrado,
- una serie de clases de activos
- una serie de amenazas típicas
- una serie de salvaguardas normalizadas
- items estándar para una política de seguridad
- procedimientos estándar de seguridad
así como el conocimiento de
- cuán buena es una salvaguarda mitigando una amenaza
Estas bibliotecas permiten
- al usuario de la herramienta:
-
concentrarse en la identificación y valoración de activos, amenazas y salvaguardas
- al receptor de los informes:
-
usar una terminología común y comparar diferentes análisis de riesgos
- al auditor:
-
leer el informe con una terminología estandarizada
Las herramientas de gestión de bibliotecas no son para el usuario final, sino para elaborar y mantener bibliotecas normalizadas.