Documentos de Académico
Documentos de Profesional
Documentos de Cultura
MAGERIT - Analisis de Riesgos en La AEMET PDF
MAGERIT - Analisis de Riesgos en La AEMET PDF
PALABRAS CLAVE:
Meteorologa aeronutica, seguridad, proteccin, ISO 17799, riesgos, Magerit, PILAR,
anlisis, salvaguardas.
1/9
2. ALCANCE:
El objetivo marcado para el proyecto fue incrementar la seguridad mediante el
mantenimiento de la integridad, disponibilidad, confidencialidad y control de los
sistemas informticos y de la informacin manejada y depositada en ellos. La
integridad asegura la inalteracin, la disponibilidad supone permanente estado de
operatividad y la confidencialidad implica que slo entidades autorizadas estn en
situacin de proceso de la informacin. El control slo es posible cuando ciertos
usuarios definen reglas que establecen el medio y condiciones de acceso para el resto
de usuarios de la organizacin.
En paralelo se intentaba reforzar la seguridad fsica de las instalaciones y la
proteccin del personal, mejorando simultneamente la continuidad de los servicios de
mantenimiento. Para lograr estos objetivos se ha avanzado en la reduccin de la
frecuencia de fallos y en la mejora de la capacidad de respuesta ante los mismos.
Con este planteamiento, se definira el alcance del proyecto como:
Es preciso sealar que la AEMET cuenta con una distribucin territorial de sus
funciones, de forma que la generacin de productos y servicios meteorolgicos se
encuentra lo ms cerca posible de los usuarios finales a los que estn destinados. El
SGP tendra que implantarse especialmente en las siguientes unidades operativas:
- 44 Oficinas Meteorolgicas de Aerdromo (OMA) y Oficinas
Meteorolgicas de Defensa (OMD) abiertas a trfico civil.
- 11 Grupos de Prediccin y Vigilancia (GPV), en sus funciones como
Oficinas Meteorolgicas Principales Aeronuticas (OMPA) y Oficinas de
Vigilancia Meteorolgicas (OVM de Las Palmas).
- Centro Nacional de Prediccin, incluyendo sus funciones de OVM.
- Centro de Proceso de Datos (CPD).
De forma anloga el SGP tendra que implantarse en el resto de unidades de la
AEMET que sirven de apoyo a la prestacin de servicios aeronuticos (15 Centros
Meteorolgicos Territoriales; rea de Observacin; rea de Comunicaciones,
Seguridad y Gestin de Datos; Servicio de Aplicaciones Aeronuticas, etc.)
2/9
3. METODOLOGA APLICADA:
Para la construccin del Sistema de Gestin de la Proteccin se han tenido
muy especialmente en cuenta los requisitos aplicables de las Normas siguientes:
- Reglamento (CE) n 2096/2005, que establece los Requisitos
Comunes para Prestacin de Servicios de Navegacin Area.
- UNE-ISO/IEC 17799: Cdigo Buenas Prcticas para la Gestin de la
Seguridad de la Informacin.
Como referencia, tambin se han utilizado adems las siguientes normas:
- UNE 71502: Especificaciones para un Sistema de Gestin de Seguridad
de la Informacin. Describe los pasos a dar para el establecimiento,
implantacin, documentacin y evaluacin de un SGSI
- UNE 71501: Gua para la Gestin de la Seguridad de las Tecnologas
de la Informacin.
Para el desarrollo y planificacin del anlisis de riesgos se ha seguido:
- Magerit versin 2 (Metodologa de Anlisis y Gestin de Riesgos de
los Sistemas de Informacin de las Administraciones Pblicas),
elaborada por el Consejo Superior de Administracin Electrnica.
- PILAR (Procedimiento Informtico y Lgico del Anlisis de Riesgos)
versin 3.3 (10-03-2007). Se ha utilizado tanto para la valoracin de
activos, como para la de amenazas y la estimacin del riesgo potencial.
Magerit se adopt como el mtodo formal para analizar los riesgos que
soportan los Sistemas de Informacin, y para recomendar las medidas apropiadas que
deberan adoptarse en la mejora de su control. Proporciona un nmero razonable de
herramientas para ofrecer un mapa de los riesgos a que est sujeta la organizacin en
el mbito del proyecto, simplificando considerablemente la recogida de los datos
precisos para la toma de decisiones.
En funcin del marco normativo, y sin entrar en demasiados detalles, puede
asumirse que el esquema sobre el que finalmente se construye el SGP es el clsico
PDCA, que se resume en la figura 1.
Planificar
Poltica de Seguridad
Alcance del SGP
Anlisis de Riesgos
Seleccin de Controles
Mejorar
Acciones correctivas
Acciones preventivas
SGP
Hacer
Implantacin del SGP
Implantacin de Controles
Operacin
Respuesta a incidentes
Verificar
3/9
4/9
Recogida de informacin.
Identificacin de los activos relevantes.
Valoracin de los activos.
Determinacin de las amenazas potenciales sobre cada activo.
Identificacin del grado de vulnerabilidad de cada activo a las amenazas que le
afectan.
Estimacin del impacto sobre el activo de la materializacin de la amenaza.
Medida del riesgo, analizando el impacto ponderado por la frecuencia de
ocurrencia de la amenaza.
5/9
6. GESTIN DE SALVAGUARDAS
Una vez identificado y valorado, el primer paso para la gestin efectiva y
reduccin a un nivel aceptable del riesgo es la seleccin de salvaguardas aplicables.
El estudio de las salvaguardas se realiz sobre los riesgos de nivel alto (7), medio (6)
o bajo (5). En esta fase de implantacin del SGP, el objetivo fue alcanzar un riesgo
residual (que permanece despus de aplicar las salvaguardas y se considera
aceptable por la organizacin en esta fase del proyecto) con un valor inferior a 5.
El proceso de reduccin, que puede parecer muy ambicioso, se simplifica
cuando, como sucede frecuentemente, una sola salvaguarda sirve para reducir el
riesgo que afecta a un amplio conjunto de activos (por ejemplo la existencia de una
poltica de seguridad afectara a toda la organizacin y, consecuentemente, reduce de
forma simultnea el riesgo del conjunto de activos analizados).
Las 127 salvaguardas seleccionadas por el Comit de Coordinacin de la
Seguridad fueron propuestas al Director General, que con su aprobacin acept
implcitamente la existencia de riesgos que no se pueden gestionar en esta fase del
proyecto.
Anlisis de Riesgos en la AEMET
6/9
7/9
8/9
8. RESUMEN
La amplitud del anlisis a realizar sobre miles de elementos, con ms de 230
activos organizados en 5 capas y analizados para cuatro dimensiones, implica una
considerable dificultad para la correcta aplicacin de Magerit. La complejidad de la
propia metodologa, el nmero de activos y las mltiples relaciones de dependencia
que pueden establecerse entre ellos, justifica el empleo de una herramienta como
PILAR, dado el valor aadido que con su uso puede aportar al proyecto.
La aplicacin sistemtica de la metodologa seleccionada ha hecho posible
identificar los activos ms crticos para la organizacin y tener una visin de los
riesgos que pueden afectar de forma ms grave a la prestacin del servicio de datos
meteorolgicos a la aeronutica. Debe aceptarse un inevitable grado de subjetividad e
incertidumbre sobre el resultado final, que ser inversamente proporcional a la calidad
del anlisis realizado.
El xito del proyecto se pone de manifiesto en la adopcin de numerosas
salvaguardas mediante decisiones adoptadas a nivel directivo, que han contribuido a
disminuir el nivel de riesgo a que estaba sometida inicialmente la organizacin.
9/9