QUE ES MAGERIT
Páginas: 5 (1126 palabras)
Publicado: 9 de septiembre de 2015
QUE ES MAGERIT
Magerit – Vr. 3.0 - Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
MAGERIT es una metodología de carácter público, perteneciente al CSAE (Consejo Superior de Administración Electrónica de España); su utilización no requiere autorización previa del mismo.
MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas informáticospara tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependade la arbitrariedad del analista.
Consta de 3 guías.
— Libro I – Método, donde se encuentran las definiciones y forma de aplicar la metodología.
— Libro II – Catálogo de elementos. Tipo de activos, valoración de activos, amenazas típicas sobre los sistemas de información, salvaguardas a considerar para proteger los sistemas de información. (Se definen las salvaguardas o contra medidas comoaquellos procedimientos o mecanismos tecnológicos que reducen el riesgo. Hay amenazas que se conjurar simplemente organizándose adecuadamente, otras requieres elementos técnicos (programas o equipos), otras seguridad física y, por último, está la política de personal)
— Guía de Técnicas – Recopilación de técnicas de diferente tipo que pueden ser de utilidad para la aplicación del método (Técnicasespecíficas para el análisis de riesgos • análisis mediante tablas • análisis algorítmico • árboles de ataque • técnicas generales • técnicas gráficas • sesiones de trabajo: entrevistas, reuniones y presentaciones • valoración Delphi).
PILAR, acrónimo de “Procedimiento Informático-Lógico para el Análisis de Riesgos” es una herramienta desarrollada bajo especificación del Centro Nacional de InteligenciaDE ESPAÑA para soportar el análisis de riesgos de sistemas de información siguiendo la metodología Magerit.
La herramienta soporta todas las fases del método Magerit:
• Caracterización de los activos: identificación, clasificación, dependencias y valoración
• Caracterización de las amenazas
• Evaluación de las salvaguardas
PORQUE ESCOGER UNA METODOGIA.
1. En el actual tablero de cumplimientono existe una metodología de evaluación definida, las calificaciones son subjetivas.
2. Evaluación de Seguridad de la Información realizada en Marzo 2014 por Ernst & Young, en sus recomendaciones para el dominio de Gobierno de seguridad de la información nos dice:
Considerar la alineación de la evaluación y tratamiento de riegos de seguridad con una metodología de propósito específico, como ISO/IEC 27005, NIST 800-30, OCTAVE, MAGERIT.
Tipo de protección
Esta aproximación a veces resulta un poco simplificadora, pues es habitual hablar de diferentes tipos de protección prestados por las salvaguardas:
[PR] prevención - [DR] disuasión - [EL] eliminación - [CR] corrección - [RC] recuperación…
Eficacia de la protección
Las salvaguardas se caracterizan, además de por su existencia, por sueficacia frente al riesgo que pretenden conjurar. La salvaguarda ideal es 100% eficaz, eficacia que combina 2 factores:
desde el punto de vista técnico
1 es técnicamente idónea para enfrentarse al riesgo que protege
2 se emplea siempre
desde el punto de vista de operación de la salvaguarda
1 está perfectamente desplegada, configurada y mantenida
2 existen procedimientos claros de uso normal yen caso de incidencias
3 los usuarios están formados y concienciados
4 existen controles que avisan de posibles fallos
Entre una eficacia del 0% para aquellas que faltan y el 100% para aquellas que son idóneas y que están perfectamente implantadas, se estimará un grado de eficacia real en cada caso concreto. Para medir los aspectos organizativos, se puede emplear una escala de madurez que...
Magerit – Vr. 3.0 - Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
MAGERIT es una metodología de carácter público, perteneciente al CSAE (Consejo Superior de Administración Electrónica de España); su utilización no requiere autorización previa del mismo.
MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas informáticospara tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependade la arbitrariedad del analista.
Consta de 3 guías.
— Libro I – Método, donde se encuentran las definiciones y forma de aplicar la metodología.
— Libro II – Catálogo de elementos. Tipo de activos, valoración de activos, amenazas típicas sobre los sistemas de información, salvaguardas a considerar para proteger los sistemas de información. (Se definen las salvaguardas o contra medidas comoaquellos procedimientos o mecanismos tecnológicos que reducen el riesgo. Hay amenazas que se conjurar simplemente organizándose adecuadamente, otras requieres elementos técnicos (programas o equipos), otras seguridad física y, por último, está la política de personal)
— Guía de Técnicas – Recopilación de técnicas de diferente tipo que pueden ser de utilidad para la aplicación del método (Técnicasespecíficas para el análisis de riesgos • análisis mediante tablas • análisis algorítmico • árboles de ataque • técnicas generales • técnicas gráficas • sesiones de trabajo: entrevistas, reuniones y presentaciones • valoración Delphi).
PILAR, acrónimo de “Procedimiento Informático-Lógico para el Análisis de Riesgos” es una herramienta desarrollada bajo especificación del Centro Nacional de InteligenciaDE ESPAÑA para soportar el análisis de riesgos de sistemas de información siguiendo la metodología Magerit.
La herramienta soporta todas las fases del método Magerit:
• Caracterización de los activos: identificación, clasificación, dependencias y valoración
• Caracterización de las amenazas
• Evaluación de las salvaguardas
PORQUE ESCOGER UNA METODOGIA.
1. En el actual tablero de cumplimientono existe una metodología de evaluación definida, las calificaciones son subjetivas.
2. Evaluación de Seguridad de la Información realizada en Marzo 2014 por Ernst & Young, en sus recomendaciones para el dominio de Gobierno de seguridad de la información nos dice:
Considerar la alineación de la evaluación y tratamiento de riegos de seguridad con una metodología de propósito específico, como ISO/IEC 27005, NIST 800-30, OCTAVE, MAGERIT.
Tipo de protección
Esta aproximación a veces resulta un poco simplificadora, pues es habitual hablar de diferentes tipos de protección prestados por las salvaguardas:
[PR] prevención - [DR] disuasión - [EL] eliminación - [CR] corrección - [RC] recuperación…
Eficacia de la protección
Las salvaguardas se caracterizan, además de por su existencia, por sueficacia frente al riesgo que pretenden conjurar. La salvaguarda ideal es 100% eficaz, eficacia que combina 2 factores:
desde el punto de vista técnico
1 es técnicamente idónea para enfrentarse al riesgo que protege
2 se emplea siempre
desde el punto de vista de operación de la salvaguarda
1 está perfectamente desplegada, configurada y mantenida
2 existen procedimientos claros de uso normal yen caso de incidencias
3 los usuarios están formados y concienciados
4 existen controles que avisan de posibles fallos
Entre una eficacia del 0% para aquellas que faltan y el 100% para aquellas que son idóneas y que están perfectamente implantadas, se estimará un grado de eficacia real en cada caso concreto. Para medir los aspectos organizativos, se puede emplear una escala de madurez que...
Leer documento completo
Regístrate para leer el documento completo.