MAGERIT - METODOLOGA DE ANLISIS

Y GESTIN DE RIESGOS DE LOS

SISTEMAS DE INFORMACIN
Ing. Kramer Garay Gmez
QU ES MAGERIT?
Es la metodologa de anlisis y gestin de riesgos
elaborada por el Consejo Superior de Administracin
Electrnica, como respuesta a la percepcin de que la
Administracin, y, en general, toda la sociedad,
dependen de forma creciente de las tecnologas de la
informacin para el cumplimiento de su misin.
El anlisis y gestin de los riesgos es un aspecto clave
del Real Decreto 3/2010, de 8 de enero, por el que se
regula el Esquema Nacional de Seguridad en el mbito
de la Administracin Electrnica que tiene la finalidad de
poder dar satisfaccin al principio de proporcionalidad
en el cumplimiento de los principios bsicos y requisitos
mnimos para la proteccin adecuada de la informacin.
MAGERIT es un instrumento para facilitar la
implantacin y aplicacin del Esquema Nacional de
Seguridad.
INTRODUCCIN
Las organizaciones, pblicas o privadas, dependen
de forma creciente de las tecnologas de la
informacin para lograr sus objetivos de negocio.
MAGERIT interesa a organizaciones que trabajan
con informacin automatizada y sistemas
informticos.
Si dicha informacin y los servicios que se prestan
son valiosos, MAGERIT permite saber cuanto valor
esta en juego y ayudar a protegerlo.

INTRODUCCION
Con MAGERIT se persigue una aproximacin
metdica que no deje lugar a la improvisacin, ni
dependa de la arbitrariedad de los analistas.
Figura 1. ISO 31000 - Marco de trabajo para la gestin de riesgos

OBJETIVOS DE MAGERIT
Directos:
Concienciar a los responsables de las
organizaciones de informacin de la existencia de
riesgos y de la necesidad de gestionarlos
Ofrecer un mtodo sistemtico para analizar los
riesgos derivados del uso de tecnologas de la
informacin y comunicaciones (TIC)
Ayudar a descubrir y planificar el tratamiento
oportuno para mantener los riesgos bajo control
Indirectos
Preparar a la Organizacin para procesos de
evaluacin, auditora, certificacin o acreditacin,
segn corresponda en cada caso
COMPONENTES
LIBRO 1
Mtodo: describe las tareas a realizar para
acometer proyectos de anlisis y gestin de riesgos
aportando una gua para el desarrollo de anlisis
de riesgos, aspectos prcticos y consejos para
facilitar la tarea.

LIBRO 2
Catlogo de elementos: recoge el catlogo de
elementos implicados en el anlisis de riesgos tales
como: una categorizacin de activos, las
dimensiones aplicables (DICAT), criterios para
valoracin de activos como procesos de negocio o
datos, catlogo de amenazas y un catlogo de
medidas a implantar para mitigar los riesgos a los
que estn expuestos los sistemas de informacin.
Por ltimo indica cmo desarrollar un informe.
LIBRO 3
Gua de tcnicas: proporciona tcnicas para el
anlisis de riesgos tales como: Algoritmos de
anlisis, rboles ataque, anlisis coste-beneficio,
diagramas de flujo, tablas de procesos o tcnicas
de trabajo. El uso de la herramienta asociada a
esta metodologa PILAR implementa muchas de
estas soluciones tcnicas.
CMO DEFINE MAGERIT EL PROCESO DE
ANLISIS DE RIESGOS?
A la hora de llevar a cabo un proyecto de anlisis y
gestin de riesgos de acuerdo con MAGERIT se
proponen 3 etapas diferenciadas:
1. Planificacin del proyecto
2. Anlisis de riesgos
3. Gestin de riesgos


Proceso P1: Planificacin del proyecto de anlisis y gestin de riesgos
Actividad A1.1: Estudio de oportunidad
Tarea T1.1.1: Determinar la oportunidad
Actividad A1.2: Determinacin del alcance del proyecto
Tarea T1.2.1: Objetivos y restricciones generales
Tarea T1.2.2: Determinacin del dominio y lmites
Tarea T1.2.3: Identificacin del entorno
Tarea T1.2.4: Estimacin de dimensiones y coste
Actividad A.1.3: Planificacin del proyecto
Tarea T1.3.1: Evaluar cargas y planificar
entrevistas
Tarea T1.3.2: Organizar a los participantes
Tarea T1.3.3: Planificar el trabajo
Actividad A1.4: Lanzamiento del proyecto
Tarea T1.4.1: Adaptar los cuestionarios
Tarea T1.4.2: Criterios de evaluacin
Tarea T1.4.3: Recursos necesarios
Tarea T1.4.4: Sensibilizacin
Proceso P2: Anlisis de Riesgos
Actividad A2.1: Caracterizacin de los activos
Tarea T2.1.1: Identificacin de los activos
Tarea T2.1.2: Dependencia entre activos
Tarea T2.1.3: Valoracin de los activos
Actividad A2.2: Caracterizacin de las amenazas
Tarea T2.2.1: Identificacin de las amenazas
Tarea T2.2.2: Valoracin de las amenazas
Actividad A2.3. Caracterizacin de las salvaguardas
Tarea T2.3.1: Identificacin de las salvaguardas existentes
Tarea T2.3.2: Valoracin de las salvaguardas existentes
Actividad A2.4: Estimacin del estado de riesgos
Tarea T2.4.1: Estimacin del impacto
Tarea T2.4.2: Estimacin del riesgo
Tarea T2.4.3: Interpretacin de los resultados
Proceso P3: Gestin de riesgos
Actividad A3.1: Toma de decisiones
Tarea T3.1.1: Calificacin de los riesgos
Actividad A3.2: Plan de seguridad
Tarea T3.2.1: Programa de seguridad
Tarea T3.2.2: Plan de ejecucin
Actividad A3.3: Ejecucin del Plan
Tarea T3.3: Ejecucin de cada programa de seguridad
ESCENARIO DE ANLISIS DE RIESGOS

PILAR
Es una herramienta que implementa la metodologa
MAGERIT de anlisis y gestin de riesgos, desarrollada por el
Centro Criptolgico Nacional (CCN) y de amplia utilizacin en
la administracin pblica espaola






http://www.pilar-tools.com/es/

TERMINOLOGA
Activo: Recursos del sistema de informacin o
relacionados con ste, necesarios para que la
Organizacin funcione correctamente
Amenazas: Eventos que pueden desencadenar un
incidente en la Organizacin, produciendo daos
materiales o prdidas inmateriales en sus activos.
Impacto: Si estimamos la frecuencia con que se
materializan las amenazas, podemos deducir el
riesgo al que est expuesto el sistema.
Degradacin y frecuencia califican la vulnerabilidad
del sistema.

TERMINOLOGA
Riesgo: Estimacin del grado de exposicin a que
una amenaza se materialice sobre uno o ms
activos causando daos o perjuicios a la
Organizacin.
Salvaguarda: Procedimiento o mecanismo
tecnolgico que reduce el riesgo.
Riesgo Residual: Riesgo remanente en el sistema
tras la implantacin de las salvaguardas
determinadas en el plan de seguridad de la
informacin.

Conceptos Importantes
RIESGO
La probabilidad de que una amenaza en particular
explote una vulnerabilidad causando un impacto
negativo sobre mis negocios
AMENAZA
Un evento con el potencial de afectar negativamente
la Confidencialidad, Integridad o Disponibilidad de los
Activos de Informacin.
VULNERABILIDAD
Una debilidad que facilita la materializacin de
una amenaza
CONTROL
Cualquier medida de proteccin orientada a
asegurar la Confidencialidad, Integridad o
Disponibilidad de los Activos de Informacin.
ROBO
PUERTAS Y
VENTANAS
ABIERTAS
ALARMA
Ej:
METODOLOGAS
CRAMM
OCTAVE
MEHARI
SP800-30


TAREA PARA LA SEMANA:
Previo a un Anlisis de Riesgos Ud., como Oficial de Seguridad
necesita hacer un inventario de los Activos de Informacin de su
Empresa/Organizacin (establezca Ud. la lnea de negocio).

Utilizando:
a. Bienes de Informacin (documentos)
b. Bienes Fsicos
c. Bienes de Software
d. Personas
e. Servicios
f. Intangibles

Determine 02 activos por cada clasificacin.
Determine 03 vulnerabilidades y 03 amenazas correspondientes
por cada activo.
Establezca pesos de acuerdo a la probabilidad de ocurrencia de
cada amenaza (Alto=3, Medio=2, Bajo=1)

TAREA PARA LA SEMANA
(cont):
Utilice el siguiente cuadro como ejemplo:


Activo Vulnerabilidades Amenazas Probabilidad de Ocurrencia
Activo 1 V1 A1 M
V2 A2 A
V3 A3 B
Activo 2 V4 A4 M
V2 A2 M
V5 A5 B
Qu pudo observar al momento de listar las Vulnerabilidades y
Amenazas?hay repeticiones?
Cules considera que son los activos ms crticos de su lista?.
Justifique su respuesta.