METODOLOGIA

MAGERIT
MARIA ISABEL ROJAS ARIAS
SINDY KATHERINE BARON PEÑA
SERGIO ARMANDO SANDOVAL ALVAREZ
¿QUE ES?
• MAGERIT (Metodología de Análisis y Gestión de Riesgo de los sistemas de información de las administraciones).
• Cubre la fase AGR (Análisis y gestión de riesgo).
• Influye en todas las fases de tipo estratégico y profundiza en las fases de tipo logístico.

CREADO POR EL CONSEJO DE ASPECTO POSITIVO

ADMINISTRACIÓN INFORMÁTICA DE ESPAÑA RESULTADO RE EXPRESA EN VALORES ECONOMICOS
 OBJETIVOS

1
Concientizar a los responsables de los
3
Prepara la organización para procesos de
sistemas de información, de la existencia de evaluación, auditoria, certificación o
Riesgos y la necesidad de atacarlos a acreditación.
tiempo.

2
Ayuda a descubrir y planificar las medidas
oportunas para mantener los riesgos bajo
control.
 • Establece las consideraciones necesarias para arrancar el
ETAPAS proyecto.
• Oportunidad de realizarlo.
• Objetivos.
PLANIFICACION
• Se identifica y valoran los diverso elementos, componentes del
riesgo.
ANALISIS DE RIESGOS
• Identifica los posibles funciones y servicios de salvaguarda.
• Calcular el riesgo.
GESTION DE RIESGOS • Funciones existentes y restricciones.

• Recopilación de información para obtener los productos finales

SELECCIÓN DE SALVAGUARDAS del proyecto.
• Realizar presentaciones de resultados.
ETAPAS
Planificación Implantación

Identificación Análisis de Evaluación de Tratamiento

Contexto
de Riesgo Riesgo Riesgo de riesgos

Identificación de Probabilidad Propuesta de

Situaciones de Riesgo Agrupación de Riesgo
Activos Inherente Controles
Identificación de Asignaciones de Evaluación de
Impacto Gestión de Riesgo
Amenazas Dimensiones Controles Existentes
Identificación de Nivel de Riesgo Nivel de riesgo
Tiempos Inherente Residual
ACTIVIDADES

1. ETAPA: RESPONSABLE DEL DOMINIO 3. ETAPA: INTERPRETACION DEL RIESGO: Interpreta los
PROTEGIBLE: recibe información de los riesgos calculados de sus áreas, proponiendo una primera
resultados finales de las etapas. estimación umbral de riesgos

4. ETAPA: SELECCIÓN DE SALVAGUARDAS: selecciona los

2. ETAPA: RECOGIDA DE INFORMACION: mecanismos que materialicen las funciones y servicios,
recoge información sobre el sistema y de los respetando las restricciones del responsable del dominio
factores que pueden influir en la seguridad por protegible.
medio de entrevistas.
 TIPOS DE ANALISIS DE RIESGO

ACTIVOS AMENAZAS SALVAGUARDAS IMPACTO RIESGO

Son los recursos del Son los eventos que pueden Es el procedimiento Es un activo , es la Es la posibilidad que se
sistema de información desencadenar un incidente físico o lógico capaz consecuencia produzca un impacto
necesarios para que la en la organización de reducir el riesgo. sobre la en un activo en el
organización funciones produciendo daños materialización de dominio.
correctamente y alcance materiales o perdidas amenazas.
los objetivos propuestos inmateriales en sus activos.
 ACTIVOS
• El entorno o soporte del sistema informático (activos
tangibles).
• El sistema de información (hardware, software
básico, aplicaciones).
• La información requerida (datos, códigos).
• Las funcionalidades del dominio.
• Otros activos (imagen de la organización)
AMENAZAS
 Accidente
físico de origen
industrial
Accidentes
mecánicos o
electromagnéticos

Grupo A de Avería
Accidentes
Interrupción de
servicios o de
suministros
esenciales

Accidente
físico de
origen natural
 Errores de
Grupo E utilización

de Errores
Errores de
diseño

Inadecuación de
Errores de monitorización,
ruta, trazabilidad,
secuencia o registro de
trafico o de
entrega información
 Acceso físico no autorizado

destrucción o sustracción
con inutilización por
Acceso lógico no autorizado
con intercepción pasiva
simple de la información

Grupo P de
Amenazas Indisponibilidad
Intencionales de recursos

Presenciales

con corrupción o destrucción

de información en transito o

Acceso lógico no autorizado

de configuración
o de configuración
de la información en transito
con alteración o sustracción
Acceso lógico no autorizado
 Grupo P de
Amenazas
Intencionales
Teleactuadas .
SALAVAGUARDAS IMPACTO RIESGO

• Las salvaguardas deben ser efectivas • Cualitativos con perdidas

• Tienen que ser adecuadas al peligro funcionales del activo N° RIESGO DESCRIPCION
que conjura • Cualitativos con perdidas 1 CRITICO Requiere atención urgente
• Deben estar instaladas, monitorizadas y orgánicas. 2 GRAVE Requiere atención
actualizadas • cualitativos
• El personal debe estar instruido 3 APRECIABLE Puede ser objeto de estudio
(usuarios, operadores y 4 ASUMIBLE No se toman acciones para
administradores) atajarlo
La herramienta PILAR (procedimiento
informático y lógico de análisis de riesgos)
desarrollada por el centro nacional de
inteligencia
• Centro criptológico nacional, con la
colaboración del MAP, tiene librerías
que permiten aplicar Magerit versión 3
y realizar el análisis y la gestión de los
riesgos en el marco de los criterios.
MAGERIT V3
1. METODOS: Se describe la estructura
que debe tener el modelo de gestión de
riesgos (ISO 31000).
2. CATALOGO DE ELEMENTOS: contiene una
división de activos que se deben
considerar; las características que deben
tenerse en cuenta para valorar los activos
identificados y además una lista con las
amenazas y controles que deben tenerse
en cuenta.
 3. GUIA DE TECNICAS: describen diferentes técnicas frecuentes
utilizadas en el análisis de riesgos. Contiene ejemplos de análisis
con tablas, algoritmos, arboles de ataque, análisis de costo
beneficio, técnicas graficas y buenas practicas para llevar
adelante el trabajo de análisis de riesgos
 VENTAJAS
• Ofrece un método sistemático para
analizar los riesgos
• Ayuda a identificar y planificar medidas
necesarias para reducir los riesgos
• Brinda herramientas que ayudan a
facilitar el análisis de riesgos
DESVENTAJAS
• El hecho de tener que traducir en
forma directa todas las valoraciones en
valores económicos hace que la
aplicación de esta metodología sea
realmente costosa.
Gracias por su
atención