Las herramientas EAR soportan el anlisis y la gestin de riesgos de un sistema de
informacin siguiendo la metodologa Magerit Los activos estn expuestos a amenazas que, cuando se materializan, degradan el activo, produciendo un impacto !i estimamos la frecuencia con que se materializan las amenazas, podemos deducir el riesgo al que est expuesto el sistema "egradacin y frecuencia cali#can la vulnera$ilidad del sistema El gestor del sistema de informacin dispone de salvaguardas, que o $ien reducen la frecuencia de ocurrencia, o $ien reducen o limitan el impacto "ependiendo del grado de implantacin de estas salvaguardas, el sistema pasa a una nueva estimacin de riesgo que se denomina riesgo residual %&LAR dispone de una $i$lioteca estndar de propsito general, y es capaz de realizar cali#caciones de seguridad respecto de normas ampliamente conocidas como son' Esquema (acional de !eguridad &!)*&E+ ,-..,',../ Los +riterios de !eguridad, (ormalizacin y +onservacin del +onse0o !uperior de &nformtica y para el &mpulso de la Administracin Electrnica, orientados a la Administracin %1$lica MAGERIT versin 3. 23etodologa de Anlisis y 4estin de Riesgos de los !istemas de &nformacin5 &ntroduccin' Las organizaciones, p1$licas o privadas, dependen de forma creciente de las tecnologas de la informacin para la consecucin de sus o$0etivos de servicio La razn de ser de 3agerit est directamente relacionada con la generalizacin del uso de los medios electrnicos, informticos y telemticos, que supone unos $ene#cios evidentes para los usuarios6 pero tam$i7n da lugar a ciertos riesgos que de$en minimizarse con medidas de seguridad que generen con#anza en el uso de tales medios 1 3agerit interesa a todos aquellos que tra$a0an con informacin mecanizada y los sistemas informticos que la tratan !i dicha informacin o los servicios que se prestan gracias a ella son valiosos, 3agerit les permitir sa$er cunto de este valor est en 0uego y les ayudar a protegerlo +onocer el riesgo al que estn sometidos los elementos de tra$a0o es, simplemente, imprescindi$le para poder gestionarlos y por ello han aparecido multitud de guas informales, aproximaciones metdicas y herramientas de soporte todas las cuales $uscan o$0etivar el anlisis para sa$er cun seguros 2o inseguros5 estn y no llamarse a enga8o El gran reto de todas estas aproximaciones es la comple0idad del pro$lema al que se enfrentan6 comple0idad en el sentido de que hay muchos elementos que considerar y que, si no se es riguroso, las conclusiones sern de poco #ar Es por ello que se persigue una aproximacin metdica que no de0e lugar a la improvisacin, ni dependa de la ar$itrariedad del analista %ese a que se ha puesto en manos de los sistemas de informacin graves responsa$ilidades para cumplir los o$0etivos de las organizaciones, no de0a de ser un tema recurrente la inquietud por su seguridad Los afectados, que frecuentemente no son t7cnicos, se preguntan si estos sistemas merecen su con#anza, con#anza que se ve mermada por cada fallo y, so$re todo, cuando la inversin en defensa de los medios de tra$a0o no se traduce en la ausencia de fallos Lo ideal es que los sistemas no fallen %ero lo cierto es que se acepta convivir con sistemas que fallan El asunto no es tanto la ausencia de incidentes como la con#anza en que estn $a0o control' se sa$e qu7 puede pasar y se sa$e qu7 hacer cuando pasa El temor a lo desconocido es el principal origen de la descon#anza y, en consecuencia, aqu se $usca conocer para con#ar' conocer los riesgos para poder afrontarlos y controlarlos EAR / PILAR - Entorno de Anlisis de Riesgos
PILAR - Anlisis y Gestin de Riesgos !e analizan los riesgos en varias dimensiones' con#dencialidad, integridad, disponi$ilidad, autenticidad y traza$ilidad 2accounta$ility5 %ara tratar el riesgo se proponen salvaguardas 2o contramedidas5 normas de seguridad procedimientos de seguridad analizndose el riesgo residual a lo largo de diversas etapas de tratamiento Anlisis de Impato y !ontin"idad de #peraiones !e analiza el efecto de las interrupciones de servicio teniendo en cuenta la duracin de la interrupcin %ara tratar el riesgo se proponen salvaguardas 2o contramedidas5 elementos de respaldo 2$ac9 up5 planes de recuperacin de desastres analizndose el impacto residual a lo largo de diversas etapas de tratamiento +omo novedades, la versin incorpora' %er#l de evaluacin para el Esquema (acional de !eguridad %er#les de evaluacin con control de aplica$ilidad y o$ligatoriedad (odos )R para modelar sistemas con su$:sistemas, equipos o servicios redundantes "ependencias circulares entre activos Activos esenciales y valoracin de dominios por activos esenciales 2 ;ragmentacin del proyecto para tra$a0o en equipo !alvaguardas para re<e0ar el uso de productos o algoritmos certi#cados Riesgo derivado de vulnera$ilidades seg1n los conceptos de la (=" >i$lioteca actualizada y ampliada de salvaguardas PILAR $asi - Anlisis y Gestin de Riesgos =ersin sencilla para %?3E : peque8a y mediana empresa Administracin local !e analizan los riesgos en varias dimensiones' con#dencialidad, integridad, disponi$ilidad, autenticidad y traza$ilidad 2accounta$ility5 %ara tratar el riesgo se proponen salvaguardas 2o contramedidas5, analizndose el riesgo residual a lo largo de diversas etapas de tratamiento RMAT %Ris& Management Additional Tools' - Personali(ain de las )erramientas Las herramientas se pueden personalizar en varios aspectos'
E=L : %er#les de proteccin +riterios de evaluacin*acreditacin espec#cos de ciertos sectores o de puntos de vista espec#cos %or e0emplo' leyes nacionales de proteccin de datos personales @!= : %er#les de amenazas Esta$leciendo la vulnera$ilidad tpica de los activos frente a las amenazas en diferentes entornos de operacin A> : %rotecciones adicionales "etallando protecciones adicionales so$re ciertos tipos de activos !e puede llegar a dar instrucciones al administrador del activo Estas herramientas permiten preparar y mantener personalizaciones, que se incorporan dinmicamente a la $i$lioteca, extendi7ndola para adaptarse a un determinado contexto 3 Las herramientas de personalizacin no estn previstas para usuarios #nales, sino para consultores y grandes organizaciones *PILAR - Anlisis y Gestin de Riesgos %&LAR reducida a la mnima expresin para realizar anlisis de riesgos muy rpidos El resultado del anlisis puede cargarse en %&LAR para un estudio ms detallado B%&LAR se distri$uye con per#les espec#cos !lo se pueden analizar los per#les de la distri$ucin !e analizan los riesgos en varias dimensiones' con#dencialidad, integridad, disponi$ilidad, autenticidad y traza$ilidad 2accounta$ility5 %ara tratar el riesgo se proponen salvaguardas 2o contramedidas5, analizndose el riesgo residual a lo largo de diversas etapas de tratamiento 4