MAGERIT

Metodologa de anlisis y
gestin de riesgos de los
sistemas de informacin.

Qu es?
MAGERIT es la metodologa de anlisis y gestin de
riesgos de los sistemas de informacin elaborada
por el Consejo Superior de Administracin
Electrnica, como respuesta a la percepcin de que
en la Administracin, y, en general, toda la
sociedad, dependen de forma creciente de las
tecnologas de la informacin para el cumplimiento
de su misin.

Elementos Bsicos

Activos
Amenazas
Vulnerabilidades
Impactos
Riesgo
Salvaguardas (funciones, servicios,
mecanismo)

Activos
Los Activos son los recursos del sistema de
informacin o relacionados con ste, necesarios
para que la organizacin funcione correctamente y
alcance los objetivos propuestos por la direccin.
El
Activo puede tener dos formas clsicas de
valoracin, cualitativa y cuantitativa.
La valoracin cualitativa corresponde a su valor
de uso y la cuantitativa a su valor de cambio
(cuando ste tiene
sentido para ciertos tipos de Activo).

Amenazas
Las amenazas se definen como los
eventos que pueden desencadenar
un incidente en la organizacin,
produciendo daos materiales o
prdidas inmateriales en sus activos.

Vulnerabilidades
La Vulnerabilidad de un Activo se
define como la potencialidad o
posibilidad de
ocurrencia
de la
materializacin de una Amenaza
sobre dicho Activo.

Impacto
El Impacto en un Activo es la consecuencia
sobre ste de la materializacin de una
Amenaza en agresin, consecuencia que
puede desbordar ampliamente el Dominio
y
requerir
la
medida
del
dao
producido a la organizacin. Visto de
forma ms dinmica, Impacto es la
diferencia en las estimaciones del estado
(de seguridad) del Activo obtenidas antes
y despus del evento de agresin.

Riesgo
El riesgo es la posibilidad de que se
produzca un impacto en un Activo o
en el Dominio.

Salvaguarda
Una Funcin o un Servicio de
salvaguarda es una accin genrica
que reduce el Riesgo mientras que
un Mecanismo de salvaguarda es el
procedimiento o dispositivo, fsico o
lgico, capaz de reducir el riesgo.

Objetivos
Concienciar a los responsables de los
sistemas de informacin (dueos del
proceso) de la existencia de riesgos y
de la necesidad de atajarlos a
tiempo.
Ofrecer un mtodo sistemtico para
analizar tales riesgos.

Objetivos
Ayudar a descubrir y planificar las
medidas oportunas para mantener
los riesgos bajo control.
Apoyar
la
preparacin
a
la
Organizacin para procesos de
evaluacin, auditora, certificacin o
acreditacin, segn corresponda en
cada caso.

Ventaja
Las decisiones que deban tomarse y
que tengan que ser validadas por la
direccin estarn fundamentadas y
sern fcilmente defendibles.

Desventaja
Por el contrario, el hecho de tener
que traducir de forma directa todas
las
valoraciones
en
valores
econmicos hace que la aplicacin
de esta metodologa sea realmente
costosa.

Conclusin
La seguridad de la informacin no es
una responsabilidad nicamente del
rea de tecnologa debe fluir desde
la alta gerencia gerencia hacia todos
los procesos de negocios.

DIFERENCIA ENTRE:

Cobit

Magerit

Elaborado por:

ISACA

Consejo superior de
administracin
electrnica.

Orientado:

Control de procesos de
informacin.

Manejo de la seguridad
de la informacin.

Usuarios:

Gerencia, usuarios
finales, auditores,
responsables TI.

Gerencia y analista de
riesgos.

Responsable:

Administracin.

Administracin.

Control interno es visto Conjunto de procesos,

como:
procedimientos.

Conjunto de procesos.

Objetivos
organizacionales:

Efectividad y
eficiencia de las
operaciones.
Confidencialidad,
integridad y
disponibilidad.
Confiabilidad.

Anlisis y gestin de
riesgos.
Conocer, transmitir
los aspectos de
seguridad.
Comprender su
vulnerabilidad.

Resultado de anlisis:

Cualitativo

Cuantitativo

Etapas:

Proceso de TI.
Requerimiento del

Planificacin.
Anlisis de riesgo.