Entorno de Anlisis de Riesgos

Las herramientas EAR soportan el anlisis y la gestin de riesgos de un sistema de

informacin siguiendo la metodologa Magerit
Los activos estn expuestos a amenazas que, cuando se materializan, degradan el activo,
produciendo un impacto !i estimamos la frecuencia con que se materializan las amenazas,
podemos deducir el riesgo al que est expuesto el sistema "egradacin y frecuencia
cali#can la vulnera$ilidad del sistema
El gestor del sistema de informacin dispone de salvaguardas, que o $ien reducen la
frecuencia de ocurrencia, o $ien reducen o limitan el impacto "ependiendo del grado de
implantacin de estas salvaguardas, el sistema pasa a una nueva estimacin de riesgo que
se denomina riesgo residual
%&LAR dispone de una $i$lioteca estndar de propsito general, y es capaz de realizar
cali#caciones de seguridad respecto de normas ampliamente conocidas como son'
Esquema (acional de !eguridad
&!)*&E+ ,-..,',../
Los +riterios de !eguridad, (ormalizacin y +onservacin del +onse0o !uperior de
&nformtica y para el &mpulso de la Administracin Electrnica, orientados a la
Administracin %1$lica
MAGERIT versin 3. 23etodologa de Anlisis y 4estin de Riesgos de los !istemas de
&nformacin5
&ntroduccin'
Las organizaciones, p1$licas o privadas, dependen de forma creciente de las tecnologas de
la informacin para la consecucin de sus o$0etivos de servicio La razn de ser de 3agerit
est directamente relacionada con la generalizacin del uso de los medios electrnicos,
informticos y telemticos, que supone unos $ene#cios evidentes para los usuarios6 pero
tam$i7n da lugar a ciertos riesgos que de$en minimizarse con medidas de seguridad que
generen con#anza en el uso de tales medios
1
3agerit interesa a todos aquellos que tra$a0an con informacin mecanizada y los sistemas
informticos que la tratan !i dicha informacin o los servicios que se prestan gracias a ella
son valiosos, 3agerit les permitir sa$er cunto de este valor est en 0uego y les ayudar a
protegerlo
+onocer el riesgo al que estn sometidos los elementos de tra$a0o es, simplemente,
imprescindi$le para poder gestionarlos y por ello han aparecido multitud de guas
informales, aproximaciones metdicas y herramientas de soporte todas las cuales $uscan
o$0etivar el anlisis para sa$er cun seguros 2o inseguros5 estn y no llamarse a enga8o El
gran reto de todas estas aproximaciones es la comple0idad del pro$lema al que se
enfrentan6 comple0idad en el sentido de que hay muchos elementos que considerar y que, si
no se es riguroso, las conclusiones sern de poco #ar Es por ello que se persigue una
aproximacin metdica que no de0e lugar a la improvisacin, ni dependa de la ar$itrariedad
del analista
%ese a que se ha puesto en manos de los sistemas de informacin graves responsa$ilidades
para cumplir los o$0etivos de las organizaciones, no de0a de ser un tema recurrente la
inquietud por su seguridad Los afectados, que frecuentemente no son t7cnicos, se
preguntan si estos sistemas merecen su con#anza, con#anza que se ve mermada por cada
fallo y, so$re todo, cuando la inversin en defensa de los medios de tra$a0o no se traduce
en la ausencia de fallos Lo ideal es que los sistemas no fallen %ero lo cierto es que se
acepta convivir con sistemas que fallan El asunto no es tanto la ausencia de incidentes
como la con#anza en que estn $a0o control' se sa$e qu7 puede pasar y se sa$e qu7 hacer
cuando pasa El temor a lo desconocido es el principal origen de la descon#anza y, en
consecuencia, aqu se $usca conocer para con#ar' conocer los riesgos para poder
afrontarlos y controlarlos
EAR / PILAR - Entorno de Anlisis de Riesgos

PILAR - Anlisis y Gestin de Riesgos
!e analizan los riesgos en varias dimensiones' con#dencialidad, integridad, disponi$ilidad,
autenticidad y traza$ilidad 2accounta$ility5
%ara tratar el riesgo se proponen
salvaguardas 2o contramedidas5
normas de seguridad
procedimientos de seguridad
analizndose el riesgo residual a lo largo de diversas etapas de tratamiento
Anlisis de Impato y !ontin"idad de #peraiones
!e analiza el efecto de las interrupciones de servicio teniendo en cuenta la duracin de la
interrupcin
%ara tratar el riesgo se proponen
salvaguardas 2o contramedidas5
elementos de respaldo 2$ac9 up5
planes de recuperacin de desastres
analizndose el impacto residual a lo largo de diversas etapas de tratamiento
+omo novedades, la versin incorpora'
%er#l de evaluacin para el Esquema (acional de !eguridad
%er#les de evaluacin con control de aplica$ilidad y o$ligatoriedad
(odos )R para modelar sistemas con su$:sistemas, equipos o servicios redundantes
"ependencias circulares entre activos
Activos esenciales y valoracin de dominios por activos esenciales
2
;ragmentacin del proyecto para tra$a0o en equipo
!alvaguardas para re<e0ar el uso de productos o algoritmos certi#cados
Riesgo derivado de vulnera$ilidades seg1n los conceptos de la (="
>i$lioteca actualizada y ampliada de salvaguardas
PILAR $asi - Anlisis y Gestin de Riesgos
=ersin sencilla para
%?3E : peque8a y mediana empresa
Administracin local
!e analizan los riesgos en varias dimensiones' con#dencialidad, integridad, disponi$ilidad,
autenticidad y traza$ilidad 2accounta$ility5
%ara tratar el riesgo se proponen salvaguardas 2o contramedidas5, analizndose el riesgo
residual a lo largo de diversas etapas de tratamiento
RMAT %Ris& Management Additional Tools' - Personali(ain de las )erramientas
Las herramientas se pueden personalizar en
varios aspectos'

E=L : %er#les de proteccin
+riterios de evaluacin*acreditacin
espec#cos de ciertos sectores o de puntos
de vista espec#cos
%or e0emplo' leyes nacionales de
proteccin de datos personales
@!= : %er#les de amenazas
Esta$leciendo la vulnera$ilidad tpica de
los activos frente a las amenazas en
diferentes entornos de operacin
A> : %rotecciones adicionales
"etallando protecciones adicionales so$re
ciertos tipos de activos !e puede llegar a
dar instrucciones al administrador del
activo
Estas herramientas permiten preparar y mantener personalizaciones, que se incorporan
dinmicamente a la $i$lioteca, extendi7ndola para adaptarse a un determinado contexto
3
Las herramientas de personalizacin no estn previstas para usuarios #nales, sino para
consultores y grandes organizaciones
*PILAR - Anlisis y Gestin de Riesgos
%&LAR reducida a la mnima expresin para realizar anlisis de riesgos muy rpidos El
resultado del anlisis puede cargarse en %&LAR para un estudio ms detallado
B%&LAR se distri$uye con per#les espec#cos !lo se pueden analizar los per#les de la
distri$ucin !e analizan los riesgos en varias dimensiones' con#dencialidad, integridad,
disponi$ilidad, autenticidad y traza$ilidad 2accounta$ility5
%ara tratar el riesgo se proponen salvaguardas 2o contramedidas5, analizndose el riesgo
residual a lo largo de diversas etapas de tratamiento
4