You are on page 1of 19

MAGERIT - METODOLOGÍA DE ANÁLISIS

Y GESTIÓN DE RIESGOS DE LOS
SISTEMAS DE INFORMACIÓN
Ing. Kramer Garay Gómez
¿QUÉ ES MAGERIT?
 Es la metodología de análisis y gestión de riesgos
elaborada por el Consejo Superior de Administración
Electrónica, como respuesta a la percepción de que la
Administración, y, en general, toda la sociedad,
dependen de forma creciente de las tecnologías de la
información para el cumplimiento de su misión.
 El análisis y gestión de los riesgos es un aspecto clave
del Real Decreto 3/2010, de 8 de enero, por el que se
regula el Esquema Nacional de Seguridad en el ámbito
de la Administración Electrónica que tiene la finalidad de
poder dar satisfacción al principio de proporcionalidad
en el cumplimiento de los principios básicos y requisitos
mínimos para la protección adecuada de la información.
MAGERIT es un instrumento para facilitar la
implantación y aplicación del Esquema Nacional de
Seguridad.
INTRODUCCIÓN
 Las organizaciones, públicas o privadas, dependen
de forma creciente de las tecnologías de la
información para lograr sus objetivos de negocio.
 MAGERIT interesa a organizaciones que trabajan
con información automatizada y sistemas
informáticos.
 Si dicha información y los servicios que se prestan
son valiosos, MAGERIT permite saber cuanto valor
esta en juego y ayudará a protegerlo.

INTRODUCCION
 Con MAGERIT se persigue una aproximación
metódica que no deje lugar a la improvisación, ni
dependa de la arbitrariedad de los analistas.
Figura 1. ISO 31000 - Marco de trabajo para la gestión de riesgos

OBJETIVOS DE MAGERIT
Directos:
 Concienciar a los responsables de las
organizaciones de información de la existencia de
riesgos y de la necesidad de gestionarlos
 Ofrecer un método sistemático para analizar los
riesgos derivados del uso de tecnologías de la
información y comunicaciones (TIC)
 Ayudar a descubrir y planificar el tratamiento
oportuno para mantener los riesgos bajo control
Indirectos
 Preparar a la Organización para procesos de
evaluación, auditoría, certificación o acreditación,
según corresponda en cada caso
COMPONENTES
LIBRO 1
 Método: describe las tareas a realizar para
acometer proyectos de análisis y gestión de riesgos
aportando una guía para el desarrollo de análisis
de riesgos, aspectos prácticos y consejos para
facilitar la tarea.

LIBRO 2
 Catálogo de elementos: recoge el catálogo de
elementos implicados en el análisis de riesgos tales
como: una categorización de activos, las
dimensiones aplicables (DICAT), criterios para
valoración de activos como procesos de negocio o
datos, catálogo de amenazas y un catálogo de
medidas a implantar para mitigar los riesgos a los
que están expuestos los sistemas de información.
Por último indica cómo desarrollar un informe.
LIBRO 3
 Guía de técnicas: proporciona técnicas para el
análisis de riesgos tales como: Algoritmos de
análisis, árboles ataque, análisis coste-beneficio,
diagramas de flujo, tablas de procesos o técnicas
de trabajo. El uso de la herramienta asociada a
esta metodología PILAR implementa muchas de
estas soluciones técnicas.
¿CÓMO DEFINE MAGERIT EL PROCESO DE
ANÁLISIS DE RIESGOS?
 A la hora de llevar a cabo un proyecto de análisis y
gestión de riesgos de acuerdo con MAGERIT se
proponen 3 etapas diferenciadas:
 1. Planificación del proyecto
 2. Análisis de riesgos
 3. Gestión de riesgos


Proceso P1: Planificación del proyecto de análisis y gestión de riesgos
Actividad A1.1: Estudio de oportunidad
Tarea T1.1.1: Determinar la oportunidad
Actividad A1.2: Determinación del alcance del proyecto
Tarea T1.2.1: Objetivos y restricciones generales
Tarea T1.2.2: Determinación del dominio y límites
Tarea T1.2.3: Identificación del entorno
Tarea T1.2.4: Estimación de dimensiones y coste
Actividad A.1.3: Planificación del proyecto
Tarea T1.3.1: Evaluar cargas y planificar
entrevistas
Tarea T1.3.2: Organizar a los participantes
Tarea T1.3.3: Planificar el trabajo
Actividad A1.4: Lanzamiento del proyecto
Tarea T1.4.1: Adaptar los cuestionarios
Tarea T1.4.2: Criterios de evaluación
Tarea T1.4.3: Recursos necesarios
Tarea T1.4.4: Sensibilización
Proceso P2: Análisis de Riesgos
Actividad A2.1: Caracterización de los activos
Tarea T2.1.1: Identificación de los activos
Tarea T2.1.2: Dependencia entre activos
Tarea T2.1.3: Valoración de los activos
Actividad A2.2: Caracterización de las amenazas
Tarea T2.2.1: Identificación de las amenazas
Tarea T2.2.2: Valoración de las amenazas
Actividad A2.3. Caracterización de las salvaguardas
Tarea T2.3.1: Identificación de las salvaguardas existentes
Tarea T2.3.2: Valoración de las salvaguardas existentes
Actividad A2.4: Estimación del estado de riesgos
Tarea T2.4.1: Estimación del impacto
Tarea T2.4.2: Estimación del riesgo
Tarea T2.4.3: Interpretación de los resultados
Proceso P3: Gestión de riesgos
Actividad A3.1: Toma de decisiones
Tarea T3.1.1: Calificación de los riesgos
Actividad A3.2: Plan de seguridad
Tarea T3.2.1: Programa de seguridad
Tarea T3.2.2: Plan de ejecución
Actividad A3.3: Ejecución del Plan
Tarea T3.3: Ejecución de cada programa de seguridad
ESCENARIO DE ANÁLISIS DE RIESGOS

PILAR
 Es una herramienta que implementa la metodología
MAGERIT de análisis y gestión de riesgos, desarrollada por el
Centro Criptológico Nacional (CCN) y de amplia utilización en
la administración pública española






http://www.pilar-tools.com/es/

TERMINOLOGÍA
 Activo: Recursos del sistema de información o
relacionados con éste, necesarios para que la
Organización funcione correctamente
 Amenazas: Eventos que pueden desencadenar un
incidente en la Organización, produciendo daños
materiales o pérdidas inmateriales en sus activos.
 Impacto: Si estimamos la frecuencia con que se
materializan las amenazas, podemos deducir el
riesgo al que está expuesto el sistema.
Degradación y frecuencia califican la vulnerabilidad
del sistema.

TERMINOLOGÍA
 Riesgo: Estimación del grado de exposición a que
una amenaza se materialice sobre uno o más
activos causando daños o perjuicios a la
Organización.
 Salvaguarda: Procedimiento o mecanismo
tecnológico que reduce el riesgo.
 Riesgo Residual: Riesgo remanente en el sistema
tras la implantación de las salvaguardas
determinadas en el plan de seguridad de la
información.

Conceptos Importantes
 RIESGO
La probabilidad de que una amenaza en particular
explote una vulnerabilidad causando un impacto
negativo sobre mis negocios
 AMENAZA
Un evento con el potencial de afectar negativamente
la Confidencialidad, Integridad o Disponibilidad de los
Activos de Información.
 VULNERABILIDAD
Una debilidad que facilita la materialización de
una amenaza
 CONTROL
Cualquier medida de protección orientada a
asegurar la Confidencialidad, Integridad o
Disponibilidad de los Activos de Información.
ROBO
PUERTAS Y
VENTANAS
ABIERTAS
ALARMA
Ej:
METODOLOGÍAS
 CRAMM
 OCTAVE
 MEHARI
 SP800-30


TAREA PARA LA SEMANA:
Previo a un Análisis de Riesgos Ud., como Oficial de Seguridad
necesita hacer un inventario de los Activos de Información de su
Empresa/Organización (establezca Ud. la línea de negocio).

Utilizando:
a. Bienes de Información (documentos)
b. Bienes Físicos
c. Bienes de Software
d. Personas
e. Servicios
f. Intangibles

• Determine 02 activos por cada clasificación.
• Determine 03 vulnerabilidades y 03 amenazas correspondientes
por cada activo.
• Establezca pesos de acuerdo a la probabilidad de ocurrencia de
cada amenaza (Alto=3, Medio=2, Bajo=1)

TAREA PARA LA SEMANA
(cont):
• Utilice el siguiente cuadro como ejemplo:


Activo Vulnerabilidades Amenazas Probabilidad de Ocurrencia
Activo 1 V1 A1 M
V2 A2 A
V3 A3 B
Activo 2 V4 A4 M
V2 A2 M
V5 A5 B
• ¿Qué pudo observar al momento de listar las Vulnerabilidades y
Amenazas?¿hay repeticiones?
• ¿Cuáles considera que son los activos más críticos de su lista?.
Justifique su respuesta.