Informática
Páginas: 31 (7632 palabras)
Publicado: 1 de octubre de 2010
MAGERIT
¿Qué es MAGERIT? MAGERIT es el acrónimo de "Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas". Es una metodología de carácter público, perteneciente al Ministerio de Administraciones Públicas y fue elaborado por el Consejo superior de administración pública. Se trata de una metodología para conocer el riesgo al que esta sometido una información y como de seguro (o inseguro) está. ¿Cuáles son sus objetivos?
1. concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo 2. ofrecer un método sistemático para analizar tales riesgos 3. ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control 4. preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso Realización del Análisis y Gestión de Riesgos
El análisis de riesgos permite determinar que es lo que tiene la organización y que es lo que podría pasar. Siendo una aproximación metódica de pasos pautados: 1.Determinar los activos, su interrelación y su valor en el sentido de que coste supondría su perdida. 2. Determinar las amenazas a las que están expuestos los activos 3. Determinar las salvaguardas existentes y cuán eficaces son frente al riego 4. Estimar el impacto derivado de la materialización de la amenaza 5. Estimar el riesgo como las expectativas de la materialización de la amenaza Paso1: Los activos Se denominan activos los recursos del sistema de información o relacionados con este, necesarios para que funcione correctamente y alcance los objetivos propuestos por su dirección. El activo esencial es la información o dato. Paso2: Amenazas
Consiste en determinar las amenazas que pueden afectar a cada activo, hay que estimar cuanto de vulnerable es el activo en dos sentidos: ‐ ‐ Degradación: Como es de perjudicial Frecuencia: Cada cuanto se materializa la amenaza
ISO/IEC 13335. Guías para la Gestión de la Seguridad GMITS
RESUMEN
Esta norma esta elaborada con el objetivo de facilitar la comprensión de la seguridad de las Tecnologías de la Información y a su vez orientar sobre los pasos a seguir para llevar a cabo la gestión de estas. En el sector de la normalización las organizaciones más importantes en el campo de las TI son ISO(Organización Internacional de Estandarización) y el CEI (Comité Electrotécnico Internacional). Ambos forman el Comité Conjunto el comité ISO/IEC JTC 1 que se encarga de realizar los informes técnicos de es campo. Existen tres tipos de estos informes: 1. Informes que no tienen apoyo suficiente para ser norma 2. Informes cuya materia este todavía bajo desarrollo técnico. 3. Los que desarrollan untipo de datos diferente al que normalmente se publica como norma. Este tipo de informe es al que hace referencia este resumen. Esta norma se divide en tres partes diferenciadas: Parte 1: Conceptos y modelos para la seguridad de TI (ISO/IEC 13335-1): Esta parte proporciona una vista general de los conceptos y modelos utilizados en gestión de seguridad de TI. En esta parte se definen conceptos queserán fundamentales para la comprensión del resto de la norma tales como activo, amenaza, gestión de riesgo, impacto, políticas de seguridad, riesgo, riesgo residual, salvaguardas, vulnerabilidad, etc. Estos forman parte de los elementos de seguridad dentro de un sistema de gestión de seguridad, y la norma da una visión general de estos elementos y se identifican sus aspectos más identificativos.Además de explicar estos conceptos, se explican procesos que tienen que ver con la gestión de la seguridad y son además aplicables a otras disciplinas. Los procesos de los que hablara la norma, serán la gestión de la configuración, la gestión de cambios, los análisis y gestión de riesgos, la responsabilidad, la concienciación en la seguridad, la verificación y...
¿Qué es MAGERIT? MAGERIT es el acrónimo de "Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas". Es una metodología de carácter público, perteneciente al Ministerio de Administraciones Públicas y fue elaborado por el Consejo superior de administración pública. Se trata de una metodología para conocer el riesgo al que esta sometido una información y como de seguro (o inseguro) está. ¿Cuáles son sus objetivos?
1. concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo 2. ofrecer un método sistemático para analizar tales riesgos 3. ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control 4. preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso Realización del Análisis y Gestión de Riesgos
El análisis de riesgos permite determinar que es lo que tiene la organización y que es lo que podría pasar. Siendo una aproximación metódica de pasos pautados: 1.Determinar los activos, su interrelación y su valor en el sentido de que coste supondría su perdida. 2. Determinar las amenazas a las que están expuestos los activos 3. Determinar las salvaguardas existentes y cuán eficaces son frente al riego 4. Estimar el impacto derivado de la materialización de la amenaza 5. Estimar el riesgo como las expectativas de la materialización de la amenaza Paso1: Los activos Se denominan activos los recursos del sistema de información o relacionados con este, necesarios para que funcione correctamente y alcance los objetivos propuestos por su dirección. El activo esencial es la información o dato. Paso2: Amenazas
Consiste en determinar las amenazas que pueden afectar a cada activo, hay que estimar cuanto de vulnerable es el activo en dos sentidos: ‐ ‐ Degradación: Como es de perjudicial Frecuencia: Cada cuanto se materializa la amenaza
ISO/IEC 13335. Guías para la Gestión de la Seguridad GMITS
RESUMEN
Esta norma esta elaborada con el objetivo de facilitar la comprensión de la seguridad de las Tecnologías de la Información y a su vez orientar sobre los pasos a seguir para llevar a cabo la gestión de estas. En el sector de la normalización las organizaciones más importantes en el campo de las TI son ISO(Organización Internacional de Estandarización) y el CEI (Comité Electrotécnico Internacional). Ambos forman el Comité Conjunto el comité ISO/IEC JTC 1 que se encarga de realizar los informes técnicos de es campo. Existen tres tipos de estos informes: 1. Informes que no tienen apoyo suficiente para ser norma 2. Informes cuya materia este todavía bajo desarrollo técnico. 3. Los que desarrollan untipo de datos diferente al que normalmente se publica como norma. Este tipo de informe es al que hace referencia este resumen. Esta norma se divide en tres partes diferenciadas: Parte 1: Conceptos y modelos para la seguridad de TI (ISO/IEC 13335-1): Esta parte proporciona una vista general de los conceptos y modelos utilizados en gestión de seguridad de TI. En esta parte se definen conceptos queserán fundamentales para la comprensión del resto de la norma tales como activo, amenaza, gestión de riesgo, impacto, políticas de seguridad, riesgo, riesgo residual, salvaguardas, vulnerabilidad, etc. Estos forman parte de los elementos de seguridad dentro de un sistema de gestión de seguridad, y la norma da una visión general de estos elementos y se identifican sus aspectos más identificativos.Además de explicar estos conceptos, se explican procesos que tienen que ver con la gestión de la seguridad y son además aplicables a otras disciplinas. Los procesos de los que hablara la norma, serán la gestión de la configuración, la gestión de cambios, los análisis y gestión de riesgos, la responsabilidad, la concienciación en la seguridad, la verificación y...
Leer documento completo
Regístrate para leer el documento completo.