CORAS


Metodología CORAS (COnstruct a platform for Risk Analysis of Security critical system)

Desarrollado a partir de 2001 por SINTEF, un grupo de investigación noruego financiado por organizaciones del sector público y privado. Se desarrolló en el marco del Proyecto CORAS (IST-2000-25031) financiado por la Unión Europea [STOL01] [STOL02A] [STOL02B] [STOL06] [STOL07A] [STOL07B] [HOGG07A].
El método CORAS proporciona:
Ø Una metodología de análisis de riesgos basado en la elaboración de modelos, que consta de siete pasos, basados fundamentalmente en entrevistas con los expertos.
Ø Un lenguaje gráfico basado en UML (UnifiedModellingLanguage) para la definición de los modelos (activos, amenazas, riesgos y salvaguardas), y guías para su utilización a lo largo del proceso. El lenguaje se ha definido como un perfil UML.
Ø Un editor gráfico para soportar la elaboración de los modelos, basado en Microsoft Visio.
Ø Una biblioteca de casos reutilizables.
Ø Una herramienta de gestión de casos, que permite su gestión y reutilización.
Ø Representación textual basada en XML (eXtensible Mark-up Language) del lenguaje gráfico.
Ø Un formato estándar de informe para facilitar la comunicación de distintas partes en el proceso de análisis de riesgos.
Los siete pasos del método CORAS pueden representarse gráficamente de la siguiente forma:


 
Los siete pasos del método CORAS son:
  • Paso 1, Presentación: Reunión inicial, para presentar los objetivos y el alcance del análisis y recabar información inicial.
  • Pasó 2, Análisis de alto nivel: Entrevistas para verificar la comprensión de la información obtenida y la documentación analizada. Se identifican amenazas, vulnerabilidades, escenarios e incidentes.
  • Pasó 3, Aprobación: Descripción detallada de los objetivos, alcance y consideraciones, para su aprobación por parte del destinatario del análisis de riesgos.
  • Pasó 4, Identificación de riesgos: Identificación detallada de amenazas, vulnerabilidades, escenarios e incidentes.
  • Pasó 5, Estimación de riesgo: Estimación de probabilidades e impactos de los incidentes identificados en el paso anterior.
  • Pasó 6, Evaluación de riesgo: Emisión del informe de riesgos, para su ajuste fino y correcciones.
  •  Pasó 7, Tratamiento del riesgo: Identificación de las salvaguardas necesarias, y realización de análisis coste/beneficio.

Suscribirse a: Entradas (Atom)