MAGERIT V.

2 : METODOLOGA DE ANLISIS Y GESTIN DE RIESGOS DE LOS SISTEMAS DE INFORMACIN

MAGERIT es la metodologa de anlisis y gestin de riesgos elaborada por el Consejo Superior de Administracin Electrnica que estima que la gestin de los riesgos es una piedra angular en las guas de buen gobierno. Su ultima Actualizacin fue en 2012 en su versin 3

Introduccin
MAGERIT es la metodologa de anlisis y gestin de riesgos elaborada por el Consejo Superior de Administracin Electrnica, como respuesta a la percepcin de que la Administracin, y, en general, toda la sociedad, dependen de forma creciente de las tecnologas de la informacin para el cumplimiento de su misin. La razn de ser de MAGERIT est directa-mente relacionada con la generalizacin del uso de los medios electrnicos, informticos y telem-ticos, que supone unos beneficios evidentes para los ciudadanos; pero tambin da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza en el uso de tales medios. En el periodo transcurrido desde la publicacin de la primera versin de Magerit (1997) hasta la fecha, el anlisis de riesgos se ha venido consolidando como paso necesario para la gestin de la seguridad. As se recoge claramente en las Guas de la OCDE 3 que, en su principio 6 dice: 6) Evaluacin del riesgo. Los participantes deben llevar a cabo evaluaciones de riesgo. MAGERIT interesa a todos aquellos que trabajan con informacin digital y sistemas informticos para tratarla. Si dicha informacin, o los servicios que se prestan gracias a ella, son valiosos, MAGERIT les permitir saber cunto valor

est en juego y les ayudar a protegerlo. Conocer el riesgo al que estn sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue una aproximacin metdica que no deje lugar a la improvisacin, ni dependa de la arbitrariedad del analista.

Figura 1. ISO 31000 - Marco de trabajo para la gestin de riesgos El anlisis y gestin de los riesgos es un aspecto clave del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica que tiene la finalidad de poder dar satisfaccin al principio de proporcionalidad en el cumplimiento de los principios bsicos y requisitos mnimos para la proteccin adecuada de la informacin. MAGERIT es un instrumento para facilitar la implantacin y aplicacin del Esquema Nacional de Seguridad.

Figura 2. Gestin de riesgos MAGERIT figura en el inventario de mtodos de anlisis y gestin de riesgos de ENISA en

Productos y servicios complementarios

PILAR es una herramienta que implementa la metodologa MAGERIT de anlisis y gestin de riesgos, desarrollada por el Centro Criptolgico Nacional (CCN) y de amplia utilizacin en la administracin pblica espaola.

Objetivos
MAGERIT persigue los siguientes objetivos: Directos: 1. Concienciar a los responsables de las organizaciones de informacin de la existencia de riesgos y de la necesidad de gestionarlos 2. Ofrecer un mtodo sistemtico para analizar los riesgos derivados del uso de tecnologas de la informacin y comunicaciones (TIC) 3. Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control Indirectos: 4. Preparar a la Organizacin para procesos de evaluacin, auditora, certificacin o acreditacin, segn corresponda en cada caso

Tambin se ha buscado la uniformidad de los informes que recogen los hallazgos y las conclusiones de un proyecto de anlisis y gestin de riesgos: Modelo de valor Caracterizacin del valor que representan los activos para la Organizacin as como de las dependencias entre los diferentes activos. Mapa de riesgos Relacin de las amenazas a que estn expuestos los activos. Evaluacin de salvaguardas Evaluacin de la eficacia de las salvaguardas existentes en relacin al riesgo que afrontan. Estado de riesgo Caracterizacin de los activos por su riesgo residual; es decir, por lo que puede pasar tomando en consideracin las salvaguardas desplegadas. Informe de insuficiencias Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre el sistema. Plan de seguridad Conjunto de programas de seguridad que permiten materializar las decisiones de gestin de riesgos

Organizacin de las guas

Esta versin 2 de MAGERIT se ha estructurado en tres libros: ste, que describe El Mtodo, un "Catlogo de Elementos" y una "Gua de Tcnicas".

Esta gua describe la metodologa desde tres ngulos: El captulo 2 Describe los pasos para realizar un anlisis del estado de riesgo y para gestionar su mitigacin. Es una presentacin netamente conceptual.

 El captulo 3 Describe las tareas bsicas para realizar un proyecto de anlisis y gestin de riesgos, entendiendo que no basta con tener los conceptos claros, sino que es conveniente pautar roles, actividades, hitos y documentacin para que la realizacin del proyecto de anlisis y gestin de riesgos est bajo control en todo momento. El captulo 4 Aplica la metodologa al caso del desarrollo de sistemas de informacin, en el entendimiento que los proyectos de desarrollo de sistemas deben tener en cuenta los riesgos desde el primer momento, tanto los riesgos a que estn expuestos, como los riesgos que las propias aplicaciones introducen en el sistema.

Como complemento, el captulo 5 desgrana una serie de aspectos prcticos, derivados de la experiencia acumulada en el tiempo para la realizacin de un anlisis y una gestin realmente efectivos.

MAGERIT versin 3 se ha estructurado en tres libros: "Mtodo", "Catlogo de Elementos" y "Gua de Tcnicas".

Mtodo
Se estructura de la siguiente forma:

El captulo 2 presenta los conceptos informalmente. En particular se enmarcan las actividades de anlisis y tratamiento dentro de un proceso integral de gestin de riesgos.

El captulo 3 concreta los pasos y formaliza las actividades de anlisis de los riesgos.

El captulo 4 describe opciones y criterios de tratamiento de los riesgos y formaliza las actividades de gestin de riesgos.

El captulo 5 se centra en los proyectos de anlisis de riesgos, proyectos en los que nos veremos inmersos para realizar el primer anlisis de riesgos de un sistema y eventualmente cuando hay cambios sustanciales y hay que rehacer el modelo ampliamente.

El captulo 6 formaliza las actividades de los planes de seguridad, a veces denominados planes directores o planes estratgicos.

El captulo 7 se centra en el desarrollo de sistemas de informacin y cmo el anlisis de riesgos sirve para gestionar la seguridad del producto final desde su concepcin inicial hasta su puesta en produccin, as como a la proteccin del propio proceso de desarrollo.

El

captulo

se

anticipa

algunos

problemas

que

aparecen

recurrentemente cuando se realizan anlisis de riesgos.

Los apndices recogen material de consulta:

1. Un glosario, 2. Referencias bibliogrficas consideradas para el desarrollo de esta metodologa, 3. Referencias al marco legal que encuadra las tareas de anlisis y gestin en la Administracin Pblica Espaola, 4. El marco normativo de evaluacin y certificacin 5. Las caractersticas que se requieren de las herramientas, presentes o futuras, para soportar el proceso de anlisis y gestin de riesgos, 6. Una gua comparativa de cmo Magerit versin 1 ha evolucionado a la versin 2 y a esta versin 3

Catlogo de Elementos
Marca unas pautas en cuanto a:

Tipos de activos Dimensiones de valoracin de los activos Criterios de valoracin de los activos Amenazas tpicas sobre los sistemas de informacin Salvaguardas a considerar para proteger sistemas de informacin

Se persiguen dos objetivos: 1. Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido de ofrecerles elementos estndar a los que puedan describirse rpidamente, centrndose en lo especfico del sistema objeto del anlisis.

2. Por otra, homogeneizar los resultados de los anlisis, promoviendo una terminologa y unos criterios uniformes que permitan comparar e incluso integrar anlisis realizados por diferentes equipos. Cada seccin incluye una notacin XML que se emplear para publicar regularmente los elementos en un formato estndar capaz de ser procesado automticamente por herramientas de anlisis y gestin. Si el lector usa una herramienta de anlisis y gestin de riesgos, este catlogo ser parte de la misma; si el anlisis se realiza manualmente, este catlogo proporciona una amplia base de partida para avanzar rpidamente sin distracciones ni olvidos.

Gua de Tcnicas
Aporta luz adicional y orientacin sobre algunas tcnicas que se emplean habitualmente para llevar a cabo proyectos de anlisis y gestin de riesgos:

Tcnicas especficas para el anlisis de riesgos Anlisis mediante tablas Anlisis algortmico rboles de ataque Tcnicas generales Tcnicas grficas Sesiones de trabajo: entrevistas, reuniones y presentaciones Valoracin Delphi

Se trata de una gua de consulta. Segn el lector avance por las tareas del proyecto, se le recomendar el uso de ciertas tcnicas especficas, de las que esta gua busca ser una introduccin, as como proporcionar referencias para que el lector profundice en las tcnicas presentadas.

Experiencias de aplicacin de Magerit

Ejemplo de aplicacin de Magerit versin 2 junto con la herramienta Pilar:

Anlisis de riesgos en la Agencia Estatal de Meteorologa

Derechos de utilizacin
MAGERIT es una metodologa de carcter pblico, perteneciente al Ministerio de Hacienda y Administraciones Pblicas; su utilizacin no requiere autorizacin previa del mismo.

Responsable del Producto

Secretara de Estado de Administraciones Pblicas. Direccin General de Modernizacin Administrativa, Procedimientos e Informtica. Subdireccin General de Programas, Estudios e Impulso de Administracin Electrnica.