Bloque 02. Tema 10. Plan de seguridad.

Plan de
contingencias. Plan de recuperación. Políticas de
salvaguarda. El método MAGERIT v2 de gestión de la
seguridad.

Índice de contenido
Bloque 02. Tema 10. Plan de seguridad. Plan de contingencias. Plan de recuperación. Políticas de
salvaguarda. El método MAGERIT v2 de gestión de la seguridad......................................................1
El método MAGERIT v2 de gestión de la seguridad......................................................................1
Objetivos.....................................................................................................................................1
Definiciones................................................................................................................................1
Introducción al AGR...................................................................................................................2
Evaluación, Certificación, Auditoría y Acreditación..............................................................3
Estándares...................................................................................................................................4

El método MAGERIT v2 de gestión de la seguridad

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Creado por CSAE:
Consejo Superior de Administración Electrónica.
En el período transcurrido desde la primera versión de MAGERIT (en 1997) hasta la fecha, el
análisis de riesgos se ha venido consolidando como paso necesario para la gestión de la seguridad.
El asunto es la confianza en que los sistemas estánn bajo control: se sabe qué puede pasar y qué
hacer cuando pasa. Aquí se busca conocer para confiar. Conocer los riesgos para poder afrontarlos y
controlarlos.

Objetivos
MAGERIT persigue los siguientes objetivos directos:
1. Concienciar a los responsables de los sistemas de información de la existencia de riesgos y
de la necesidad de atajarlos a tiempo.
2. Ofrecer un método sistemático para analizar tales riesgos.
3. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo
control.
Y persigue los siguientes objetivos indirectos:
1. Preparar a la organización para procesos de evaluación, auditoria, certificación o
acreditación según corresponda en cada caso.
También se ha buscado la uniformidad de de los informes que recogen los hallazgos y las
conclusiones de un proyecto de Análisis y Gestión de Riesgos (AGR) .

Definiciones
• Modelo de Valor.

1 (c) Daniel Dianes 2011 http://danieldianes.nom.es

 Caracterización del valor que representan los activos para la Organización así como de las
dependencias entre los diferentes activos.
• Mapa de Riesgos.
Relación de las amenazas a las que están expuestos los activos.
• Evaluación de salvaguardas.
Evaluación de las salvaguardas existentes en relación al riesgo que afrontan.
• Estado de Riesgo.
Caracterización de los activos por su riesgo residual; es decir por lo que puede pasar
tomando en consideración las salvaguardas desplegadas.
• Informe de insuficiencias..
Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los
riesgos sobre el sistema.
• Plan de seguridad.
Conjunto de programas de seguridad que permiten materializar las decisiones de gestión de
riesgos.
• Riesgo.
Estimación del grado de exposición a que una amenaza se materialice sobre uno o más
activos causando daños o perjuicios a la organización. El riesgo indica lo que le podría pasar
a los activos si no se protegieran debidamente.
Es importante saber qué características son de interés en cada activo, así como saber en qué
medida estas características están en peligro, es decir, analizar el sistema: análisis de riesgos.
• Análisis de riesgos
Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una
organización.
El AR proporciona un modelo del sistema en términos de activos, amenazas y
salvaguardas.
Sabiendo lo que podría pasar:
• Gestión de Riesgos
Selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o
controlar los riesgos identificados.
• Organización de las guias.
Son tres libros: “El Método” MET, un “Catálogo de Elementos” CELM y una “Guia de
Técnicas” GTEC.
En CELM se propone un catálogo que marca las pautas en cuanto a tipos de activos,
dimensiones de valoración de los activos, criterios de valoración de los activos, amenazas
típicas sobre los sistemas de información y salvaguardas a considerar para proteger sistemas
de información.
La GTEC aporta guias sobre técnicas habituales como: técnicas específicas para el análisis
de riesgos, análisis mediante tablas, análisis algorítmico, árboles de ataque, etc.

Introducción al AGR
Seguridad es la capacidad de los sistemas de información o de las redes para resistir, con un
determinado nivel de confianza los accidentes o acciones ilícitas o malintencionadas que

2 (c) Daniel Dianes 2011 http://danieldianes.nom.es

comprometan la ACID:
• Autenticidad.
• Confidencialidad.
• Integridad.
• Disponibilidad
de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o
hacen accesibles. ACID es lo que se conoce como Dimensiones de la seguridad:
• Autenticidad (de quien hace uso de los datos o de los servicios)
Que no haya duda de quién se hace responsable de una información o prestación de un
servicio, tanto a fin de confiar en él como de poder perseguir posteriormente los
incumplimientos o errores. Es la base para poder luchar contra el repudio y fundamenta la
Administración Electrónica.
• Confidencialidad.
Que la información llegue solamente a las personas autorizadas. Contra la confidencialidad
o secreto pueden darse fugas y filtraciones de información, así como accesos no autorizados.
• Integridad.
Mantenimiento de las características de completitud y corrección de los datos. Contra la
integridad, la información puede aparecer manipulada, corrupta o incompleta.
• Disponibilidad.
Disposición de los servicios a ser usados cuando sea necesario. La carencia de
disponibilidad supone una interrupción del servicio.

Evaluación, Certificación, Auditoría y Acreditación

El AGR es la base de todas . Proporciona una visión singular de cómo es cada sistema, qué valor
posee, a qué amenazas está expuesto y de qué salvaguardas está dotado.
• Evaluación.
Tanto internamente como siendo parte de los procesos de gestión, como por medio de
evaluadores independientes externos. Permiten medir el grado de confianza que merece o
inspira un sistema de información.
• Certificación.
La evaluación puede llevar a una certificación o registro de la seguridad del sistema. Se
certifican productos (esto tiene estas caracerísticas) pero sobre todo se certifican sistemas
de gestión. Esto tiene ya más que ver con el componente humano.
Certificar es asegurar responsablemente y por escrito un comportamiento. Un
certificado dice que un sistema es capaz de proteger unos datos de unas amenazas con
una cierta calidad.
Antes de proceder debe haberse llevado a cabo un análisis de gestión de riesgos.
• Acreditación
Son un tipo de certificación. Algunas certificaciones tienen como objetivo la acreditación
del producto o sistema. La acreditación es un proceso específico cuyo objetivo es legitimar
al sistema para formar parte de sistemas más amplios.
• Auditorías
La conclusión de la auditoría es un informe de insuficiencias detectadas, que no son sino

3 (c) Daniel Dianes 2011 http://danieldianes.nom.es

 incoherencias entre las necesidades identificadas en el análisis de riesgos y la realidad
detectada durante la inspección.
El informe deberá dictaminar sobre la adecuación de las medidas, identificar deficiencias y
proponer medidas correctoras.
Unas veces son requeridas por la ley para operar en determinado sector, otras veces
requeridas por la propia dirección de la organización y otras por entidades colaboradoras
que ven su propio nivel de riesgo ligado al nuestro.
Frecuentemente se parte de un análisis de riesgos ya hecho, que auditan, o bien de uno
hecho por ellos (los auditores).

Estándares
A continuación un listado de estándares que son útiles para el test -anotar en documento específico
del test-
• ISO 7498-2:1989
“Information processing systems – Open Systems Interconnection – Basic Reference Model
– Part 2: Security Architecture”
• ISO/IEC 73:2002
“Risk Management – Vocabulary – Guidelines for use in standards”
• ISO/IEC 13335-1:2004
“Information Technology – Security Techniques – Management of Information and
communications technology security – Part 1: concepts and models for information and
communications technology security management”, 2004.
• ISO/IEC 13335-2:1997
“Information Technology – Seccurity Techniques – Guidelines for the management of IT
Security – Part 2: Managing and planning IT security”
• ISO/IEC 15408:1999
“Information Technology – Security Techniques – Evaluation Criteria for IT security”
• ISO/IEC TR 15443:2005
“Information Technology – Security Techniques – a framework for IT security assurance”,
2005.
• ISO/IEC 17799:2005
“Information Technology – Code of practice for information security management”, 2005.
• CRAMM
“Risk Analysis and Management Method (CRAMM)”, Version 5.0, 2003.

4 (c) Daniel Dianes 2011 http://danieldianes.nom.es