MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) Los responsables y los usuarios de la tecnología de la información son conscientes de la necesidad de disponer de instrumentos tales como metodologías que ayuden a la investigación del estado de seguridad de los sistemas de información (SI) y a la selección de medidas de seguridad proporcionadas, tanto para disminuir las insuficiencias de los sistemas existentes, como para aquellos otros que precisen de reforma o de nuevo desarrollo. No es posible una aplicación racional de medidas de seguridad sin antes analizar los riesgos para así implantar las medidas proporcionadas. Para responder a esta necesidad, el Consejo Superior de Administración Electrónica ha elaborado la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, MAGERIT, un método formal para investigar los riesgos que soportan los Sistemas de Información, y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos. La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de los medios electrónicos, informáticos y telemáticos, que supone unos beneficios evidentes para los ciudadanos, las empresas y la propia Administración Pública, pero que también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza en su utilización. MAGERIT propone la realización de un análisis de los riesgos que implica la evaluación del impacto que una violación de la seguridad tiene en la organización;
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información)
Los responsables y los usuarios de la tecnología de la información son
conscientes de la necesidad de disponer de instrumentos tales como
metodologías que ayuden a la investigación del estado de seguridad de los
sistemas de información (SI) y a la selección de medidas de seguridad
proporcionadas, tanto para disminuir las insuficiencias de los sistemas existentes,
como para aquellos otros que precisen de reforma o de nuevo desarrollo.
No es posible una aplicación racional de medidas de seguridad sin antes analizar
los riesgos para así implantar las medidas proporcionadas.
Para responder a esta necesidad, el Consejo Superior de Administración
Electrónica ha elaborado la Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información, MAGERIT, un método formal para investigar los riesgos
que soportan los Sistemas de Información, y para recomendar las medidas
apropiadas que deberían adoptarse para controlar estos riesgos.
La razón de ser de MAGERIT está directamente relacionada con la generalización
del uso de los medios electrónicos, informáticos y telemáticos, que supone unos
beneficios evidentes para los ciudadanos, las empresas y la propia Administración
Pública, pero que también da lugar a ciertos riesgos que deben minimizarse con
medidas de seguridad que generen confianza en su utilización.
MAGERIT propone la realización de un análisis de los riesgos que implica la
evaluación del impacto que una violación de la seguridad tiene en la organización;
señala los riesgos existentes, identificando las amenazas que acechan al sistema
de información, y determina la vulnerabilidad del sistema de prevención de dichas
amenazas, obteniendo unos resultados que permitirán a la gestión de riesgos
seleccionar e implantar las medidas de seguridad adecuadas para conocer,
impedir, reducir o controlar los riesgos identificados y así reducir al mínimo su
potencialidad o sus posibles perjuicios.
Este Análisis y Gestión de Riesgos determina la implantación de medidas de
salvaguarda que responden al objetivo de mantener la continuidad de los procesos
organizacionales soportados por los sistemas de información.
Asimismo intenta minimizar tanto el coste global de la ejecución de dichos
procesos como las pérdidas de los recursos asignados a su funcionamiento.
El Análisis y Gestión de Riesgos es, en consecuencia, el “corazón” de toda
actuación organizada de materia de seguridad y, por tanto, de la gestión global de
la seguridad. Influye incluso en las fases y actividades de tipo estratégico
(implicación de la dirección, objetivos, políticas) y condiciona la profundidad de las
fases y actividades de tipo logístico (planificación, organización, implantación de
salvaguardas, sensibilización, acción diaria y mantenimiento). La figura 7 muestra
el ciclo de fases de la gestión global de la seguridad:
Ciclo de fases de la gestión global de la seguridad
Herramienta EAR/PILAR
El entorno de análisis de riesgos EAR Pilar es una herramienta informática para el
análisis de riesgos, basado en MAGERIT. Este software puede descargarse
gratuitamente, en su versión de prueba, desde el enlace www.ar-tools.com/pilar.
PILAR dispone de una biblioteca estándar de propósito general, y es capaz de
realizar calificaciones de seguridad respecto de normas ampliamente conocidas
como son:
• ISO/IEC 27002:2005 - Código de buenas prácticas para la Gestión de la
Seguridad de la Información.
• SP800-53:2006 - Recommended Security Controls for Federal Information
Systems.
• Criterios de Seguridad, Normalización y Conservación del Consejo Superior
de Informática y para el Impulso de la Administración Electrónica.
• Para el desarrollo y planificación del análisis de riesgos se ha seguido:
• Magerit versión 2 (Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información), elaborada por el Consejo Superior de
• Administración Electrónica.
• PILAR (Procedimiento Informático y Lógico del Análisis de Riesgos) se ha
utilizado tanto para la valoración de activos, como para la de
• Amenazas y la estimación del riesgo potencial.
• En función del marco normativo, y sin entrar en demasiados detalles, puede
asumirse que el esquema sobre el que finalmente se construye el SGP es
el clásico
PILAR
Es una aplicación, para el análisis y gestión de riesgos de un Sistema de Información que Magerit
ofrece.
Las herramientas EAR (Entorno de Análisis de Riesgos) soportan el análisis y la gestión de riesgos
de un sistema de información siguiendo la metodología Magerit,
Se analizan los riesgos en varias dimensiones: confidencialidad, integridad, disponibilidad,
autenticidad y trazabilidad (accountability).
Para tratar el riesgo se proponen
salvaguardas (o contra medidas)
normas de seguridad
procedimientos de seguridad
Los activos están expuestos a amenazas que, cuando se materializan, degradan el activo, produciendo un impacto. Si estimamos la frecuencia con que se materializan las amenazas, podemos deducir el riesgo al que está expuesto el sistema. Degradación y frecuencia califican la vulnerabilidad del sistema.
El gestor del sistema de información dispone de salvaguardas, que o bien reducen la frecuencia de ocurrencia, o bien reducen o limitan el impacto. Dependiendo del grado de implantación de estas salvaguardas, el sistema pasa a una nueva estimación de riesgo que se denomina riesgo residual.