EAR
>
herramientas
 |
 |
EAR / herramientas
Entorno de análisis de riesgos
|
Se analizan los riesgos en varias dimensiones:
confidencialidad, integridad, disponibilidad,
autenticidad y trazabilidad (accountability).
Para tratar el riesgo se proponen
- salvaguardas (o contra medidas)
- normas de seguridad
- procedimientos de seguridad
analizándose el riesgo residual
a lo largo de diversas etapas de tratamiento.
Análisis de Impacto y Continuidad de Operaciones
Se analiza el efecto de las interrupciones de servicio
teniendo en cuenta la duración de la interrupción.
Para tratar el riesgo se proponen
- salvaguardas (o contra medidas)
- elementos de respaldo (back up)
- planes de recuperación de desastres
analizándose el impacto residual
a lo largo de diversas etapas de tratamiento.
Las herramientas se pueden personalizar en varios aspectos:
- EVL - Perfiles de protección
-
Criterios de evaluación/acreditación específicos de
ciertos sectores o de puntos de vista específicos.
Por ejemplo: leyes nacionales de protección de datos personales.
- TSV - Perfiles de amenazas
-
Estableciendo la vulnerabilidad típica de los activos
frente a las amenazas en diferentes entornos de operación.
- KB - Protecciones adicionales
-
Detallando protecciones adicionales sobre ciertos
tipos de activos.
Se puede llegar a dar instrucciones al administrador del activo.
Estas herramientas permiten preparar y mantener personalizaciones,
que se incorporan dinámicamente a la
biblioteca, extendiéndola para adaptarse a un determinado contexto.
Las herramientas de personalización no están previstas
para usuarios finales,
sino para consultores y grandes organizaciones.
Las bibliotecas EAR incorporan a título de conocimiento empotrado,
- una serie de clases de activos
- una serie de amenazas típicas
- una serie de salvaguardas normalizadas
- items estándar para una política de seguridad
- procedimientos estándar de seguridad
así como el conocimiento de
- cuán buena es una salvaguarda mitigando una amenaza
Estas bibliotecas permiten
- al usuario de la herramienta:
-
concentrarse en la identificación y valoración de activos,
amenazas y salvaguardas
- al receptor de los informes:
-
usar una terminología común y comparar diferentes análisis de riesgos
- al auditor:
-
leer el informe con una terminología estandarizada
Las herramientas de gestión de bibliotecas no son para el usuario
final, sino para elaborar y mantener bibliotecas normalizadas.
