Análisis de Riesgo con Magerit

Es la metodología de análisis y gestión de

riesgos elaborada por el Consejo Superior
de Administración Electrónica que estima
Que es magerit que la gestión de los riesgos es una piedra
angular en las guías de buen gobierno.
Actualizada en 2012 en su versión 3
La medición es el primer paso para el control y la mejora.
Si algo no se puede medir, no se puede entender. Si no se
entiende, no se puede controlar. Sino se puede controlar,
no se puede mejorar.
H. James Harrington

Porque medir el riesgo?

 Es la consideración sistemática del daño probable
que pueda causar en el negocio un fallo en la
Que es análisis seguridad de la información, con las
consecuencias potenciales de perdida de
de riesgo? confidencialidad, integridad y disponibilidad de la
información.
 Es la posibilidad de que se produzca un impacto
sobre algún activo(incurrir en perdidas).

Riesgo El control del riesgo como resultado de análisis de

riesgos, es un proceso complejo que parte de la
determinación de los activos y las amenazas.
Amenazas

1 2 3 4 5

Las amenazas son los
eventos que pueden
desencadenar un accidente
en la organización,
produciendo daños
materiales o perdidas
inmateriales a sus activos.
La consecuencia de la
amenaza, si se materializa,
es un incidente que
modifica el estado de
seguridad de los activos
amenazados.
Es decir hace pasar el activo
inicial anterior conocido a
otro posterior, que puede
ser no deseable.
Los activos están expuestos
a muchos tipos de
amenazas, las cuales
pueden explotar sus
vulnerabilidades.
Los controles de seguridad
que se implementan se
seleccionaran teniendo en
cuenta las vulnerabilidades
de las amenazas.
 También se le conoce como una debilidad

Agujero falla o error en la seguridad del sistema de

información.

En si misma no causa daño, es una condición o un

Vulnerabilidades conjunto de condiciones que pueden permitir a una
amenaza afectar a un activo.
Una propiedad de la relación entre un activo y una
amenaza.

Si no se gestiona adecuadamente permitirá a la

amenaza materializarse.
 Es la consecuencia sobre un activo de
la materialización de una amenaza.

El impacto mide la diferencia entre el

estado de seguridad de un activo.
Impacto

Lo hace antes y después de la

materialización de una amenaza
Otros conceptos
Riesgo intrínseco
Es el estudio que se realiza sin
tener en consideración las
diferentes medidas de seguridad
que ya están implantadas en una
organización.
Riesgo residual
análisis de riesgos
Es el estudio que se realiza
teniendo en consideración las
medidas de seguridad que la
organización ya tiene
implantadas.
Que hacer
después del
Gestionar los riesgos detectados
que soporta la identificación,
selección y adopción de controles
con base a los riesgos
identificados y a la reducción de
esos riesgos a un nivel aceptable,
definido por la alta gerencia.
 Fases del
análisis de
riesgo
 Hacer el análisis de riesgos cubra la
totalidad del alcance del PDS.

Fase 1. Seleccionar las áreas estratégicas

sobre las que mejorar la seguridad.
Definir el
alcance
Definir un alcance más limitado
atendiendo a departamentos,
procesos o sistemas.
Fase 2.
Identificar los
activos
• Identificar los activos más
importantes que guardan
relación con el
departamento, proceso, o
sistema objeto del estudio.
 • Si nuestra intención es evaluar el riesgo que
Fase 3. corremos frente a la destrucción de nuestro
Identificar / servidor de ficheros, es conveniente, considerar
las averías del servidor, la posibilidad de daños
seleccionar las por agua (rotura de una cañería) o los daños por
fuego, en lugar de plantearnos el riesgo de que
amenazas el CPD sea destruido por un meteorito
 Una posible vulnerabilidad puede ser
identificar un conjunto de ordenadores
o servidores cuyo sistemas antivirus no
Fase 4. están actualizados o una serie de
activos para los que no existe soporte ni
Identificar mantenimiento por parte del fabricante.
vulnerabilidad Posteriormente, a la hora de evaluar el
es y riesgo aplicaremos penalizaciones para
salvaguardas reflejar las vulnerabilidades
identificadas.
Fase 5.
Evaluar el riesgo
• Llegado a este punto disponemos de los siguientes
elementos:
• Inventario de activos.
• Conjunto de amenazas a las que está expuesta
cada activo.
• Conjunto de vulnerabilidades asociadas a cada
activo (si corresponde).
• Conjunto de medidas de seguridad implantadas

• Tabla para el cálculo del impacto

Fase 5.
Evaluar el riesgo
• Cálculo del riesgo
• A la hora de calcular el riesgo, si
hemos optado por hacer el análisis
cuantitativo, calcularemos
multiplicando los factores
probabilidad e impacto:
• RIESGO = PROBABILIDAD x
IMPACTO.
 Trataremos aquellos riesgos cuyo valor sea superior a “4” o superior a
“Medio” en caso de que hayamos hecho el cálculo en términos
cualitativos. A la hora de tratar el riesgo, existen cuatro estrategias
principales:
Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro
que cubra los daños a terceros ocasionados por fugas de información.

Fase 6. Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema que

está sujeto a un riesgo elevado. En el caso práctico que hemos
Tratar el expuesto, podríamos eliminar la wifi de cortesía para dar servicio a los
clientes si no es estrictamente necesario.
riesgo Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste de
instalar un grupo electrógeno puede ser demasiado alto y por tanto,
la organización puede optar por asumir.

Implantar medidas para mitigarlo. Por ejemplo, contratando un

acceso a internet de respaldo para poder acceder a los servicios en la
nube en caso de que la línea principal haya caído.
DESARROLLO DE CASO PRACTICO