Introducción
MAGERIT es la metodología de análisis y gestión de
riesgos elaborada por el Consejo Superior de Administración Electrónica, como
respuesta a la percepción de que la Administración, y, en general, toda la
sociedad, dependen de forma creciente de las tecnologías de la información para
el cumplimiento de su misión.
La razón de ser de MAGERIT está directamente
relacionada con la generalización del uso de las tecnologías de la información,
que supone unos beneficios evidentes para los ciudadanos; pero también da lugar
a ciertos riesgos que deben minimizarse con medidas de seguridad que generen
confianza.
MAGERIT interesa a todos aquellos que trabajan con
información digital y sistemas informáticos para tratarla. Si dicha
información, o los servicios que se prestan gracias a ella, son valiosos,
MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a
protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo
es, simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue
una aproximación metódica que no deje lugar a la improvisación, ni dependa de
la arbitrariedad del analista.
El análisis y gestión de los riesgos es un aspecto
clave del Real Decreto 3/2010, de 8
de enero, por el que se regula el Esquema Nacional de Seguridad en
el ámbito de la Administración Electrónica que tiene la finalidad de poder dar
satisfacción al principio de proporcionalidad en el cumplimiento de los
principios básicos y requisitos mínimos para la protección adecuada de la
información. MAGERIT es un instrumento para facilitar la implantación y
aplicación del Esquema Nacional de Seguridad.
Objetivos
MAGERIT persigue los siguientes objetivos: Directos:
1.
Concienciar a los responsables de las
organizaciones de información de la existencia de riesgos y de la necesidad de
gestionarlos
2.
Ofrecer un método sistemático para analizar los
riesgos derivados del uso de tecnologías de la información y comunicaciones
(TIC)
3.
Ayudar a descubrir y planificar el tratamiento
oportuno para mantener los riesgos bajo control Indirectos:
4.
Preparar a la Organización para procesos de evaluación,
auditoría, certificación o acreditación, según corresponda en cada caso
Organización de las guías
MAGERIT versión 3 se ha estructurado en tres
libros: "Método", "Catálogo de Elementos" y "Guía de
Técnicas".
Método
Se estructura de la siguiente forma:
·
El capítulo 2 presenta los conceptos informalmente.
En particular se enmarcan las actividades de análisis y tratamiento dentro de
un proceso integral de gestión de riesgos.
·
El capítulo 3 concreta los pasos y formaliza las
actividades de análisis de los riesgos.
·
El capítulo 4 describe opciones y criterios de
tratamiento de los riesgos y formaliza las actividades de gestión de riesgos.
·
El capítulo 5 se centra en los proyectos de
análisis de riesgos, proyectos en los que nos veremos inmersos para realizar el
primer análisis de riesgos de un sistema y eventualmente cuando hay cambios
sustanciales y hay que rehacer el modelo ampliamente.
·
El capítulo 6 formaliza las actividades de los
planes de seguridad, a veces denominados planes directores o planes
estratégicos.
·
El capítulo 7 se centra en el desarrollo de
sistemas de información y cómo el análisis de riesgos sirve para gestionar la
seguridad del producto final desde su concepción inicial hasta su puesta en
producción, así como a la protección del propio proceso de desarrollo.
·
El capítulo 8 se anticipa a algunos problemas que
aparecen recurrentemente cuando se realizan análisis de riesgos.
Los apéndices recogen material de consulta:
1.
Un glosario,
2.
Referencias bibliográficas consideradas para el
desarrollo de esta metodología,
3.
Referencias al marco legal que encuadra las tareas
de análisis y gestión en la Administración Pública Española,
4.
El marco normativo de evaluación y certificación
5.
Las características que se requieren de las
herramientas, presentes o futuras, para soportar el proceso de análisis y
gestión de riesgos,
6.
Una guía comparativa de cómo Magerit versión 1 ha
evolucionado a la versión 2 y a esta versión 3
Catálogo de Elementos
Marca unas pautas en cuanto a:
·
Tipos de activos
·
Dimensiones de valoración de los activos
·
Criterios de valoración de los activos
·
Amenazas típicas sobre los sistemas de información
·
Salvaguardas a considerar para proteger sistemas de
información
Se persiguen dos objetivos:
1.
Por una parte, facilitar la labor de las personas
que acometen el proyecto, en el sentido de ofrecerles elementos estándar a los
que puedan adscribirse rápidamente, centrándose en lo específico del sistema
objeto del análisis.
2.
Por otra, homogeneizar los resultados de los análisis,
promoviendo una terminología y unos criterios uniformes que permitan comparar e
incluso integrar análisis realizados por diferentes equipos.
Cada sección incluye una notación XML que se
empleará para publicar regularmente los elementos en un formato estándar capaz
de ser procesado automáticamente por herramientas de análisis y gestión.
Si el lector usa una herramienta de análisis y
gestión de riesgos, este catálogo será parte de la misma; si el análisis se
realiza manualmente, este catálogo proporciona una amplia base de partida para
avanzar rápidamente sin distracciones ni olvidos.
Guía de Técnicas
Aporta luz adicional y orientación sobre algunas
técnicas que se emplean habitualmente para llevar a cabo proyectos de análisis
y gestión de riesgos:
·
Técnicas específicas para el análisis de riesgos
·
Análisis mediante tablas
·
Análisis algorítmico
·
Árboles de ataque
·
Técnicas generales
·
Técnicas gráficas
·
Sesiones de trabajo: entrevistas, reuniones y
presentaciones
Valoración Delphi Se trata de una guía de consulta.
Según el lector avance por las tareas del proyecto, se le recomendará el uso de
ciertas técnicas específicas, de las que esta guía busca ser una introducción,
así como proporcionar referencias para que el lector profundice en las técnicas
presentadas.
Tomado de: http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.Vhfahfl_NBc
No hay comentarios:
Publicar un comentario