Metodologa de anlisis y

gestin de riesgos: MAGERIT

Jean Carlos Duque Franco
Yeifren Garca
Carlos Palacio
Contenido

Introduccin
MAGERIT
Objetivos
Usos
Estructura
Guas
Herramientas oficiales
Conclusiones
 Introduccin

Qu es el Analisis y Gestion de Riesgos?

Es el corazn de toda actuacin organizada en materia de seguridad
y de la gestin global de seguridad. Influye en las Fases y actividades de
tipo estratgico y condiciona la profundidad de las fases y actividades de
tipo logstico.
El Analisis de Riesgos Implica:
Determinar QU se necesita proteger.
DE QU hay que protegerlo.
CMO hacerlo.
 MAGERIT

Qu es MAGERIT?
La Metodologa de Anlisis y GEstion de RIesgos de las AdminisTraciones
publicas, MAGERIT, es un mtodo formal para investigar los riesgos que soportan
los Sistemas de Informacin y para recomendar las medidas apropiadas que
deberan adoptarse para controlar estos riesgos.

Quin lo ha elaborado?
MAGERIT ha sido elaborada por un equipo interdisciplinar del comit tcnico de
segu8ridad de los sistemas de informacin y tratamiento automatizado de datos
personales, SSITAD, del consejo superior de informtica.
 objetivos
Principal:
Estudiar los riesgos que soporta un sistema de informacin y el entorno
asociado a l.
A largo plazo:
Se prepara su articulacin con los mecanismos de evaluacin, homologacin y
certificacin de seguridad de sistemas de informacin de organismos
internacionales.
 Usos

Aportar racionalidad en el conocimiento del estado de seguridad de los

sistemas de informacin y en la introduccin de medidas de seguridad.
Tratar de que no haya elementos del sistema de informacin que
queden fuera del anlisis.
Incrustar mecanismos de seguridad en el corazn de los sistemas de
informacin:
Para disminuir las insuficiencias de los sistemas.
Para asegurar el desarrollo de los sistemas
Estructura
 Estructura: Submodelo de
ELEMENTOS (I)
Submodelo de ELEMENTOS:
Se basa en 6 entidades:
Activos:
Recursos del sistema de informacin o relacionados con este, necesarios
para que la organizacin funcione correctamente y alcance los objetivos
propuestos por su direccin.
5 tipos:
1. Entorno
2. Sistema de informacin
3. La informacin
4. Funcionalidades de la organizacin
5. Otros activos
 Estructura: Submodelo de
ELEMENTOS (II)
Amenazas:
Los eventos que pueden desencadenar un incidente en la organizacin,
produciendo daos materiales o perdidas inmateriales a sus activos.
Vulnerabilidad:
Ocurrencia real de materializacin de una Amenaza sobre un Activo.
2 aspectos:
Esttico funcin
Dinmico mecanismo
2 acepciones:
Intrnseca
efectiva.
 Estructura: Submodelo de
ELEMENTOS (III)
Impacto:
Dao producido a la organizacin por un posible incidente.
La diferencia en las estimaciones de los estados de seguridad obtenidas
antes y despus del evento.
3 tipos:
Cuantitativo
Cualitativo con perdidas orgnicas
Cualitativo con perdidas funcionales
 Estructura: Submodelo de
ELEMENTOS (IV)
Riesgo
Posibilidad de que se produzca un impacto dado en la organizacin.
Funcin o Servicio de salvaguarda,
Mecanismo de salvaguarda
Funcin o Servicio de salvaguarda
Reduccin del riesgo.
Mecanismo de salvaguarda
Dispositivo, fsico o lgico, capaz de reducir el riesgo.
2 tipos:
Preventivas
Curativas
 Estructura: Submodelo de EVENTOS
(I)
Smil: Ciudad Amurallada
Activos estn dentro.
Amenazas = enemigo exterior.
Salvaguardas = murallas
Brechas = vulnerabilidades
El ataque de las amenazas aprovecha las brechas y causa impactos en los
activos. El refuerzo de salvaguardas repara los impactos y reduce las brechas-
vulnerabilidades.
Estructura: Submodelo de EVENTOS
(II)
Este submodelo esta cada vez mas superado debido a los nuevos tipos
de amenaza
Nuevo Smil: Ciudades Abiertas casi sin fronteras mas que
Ciudades amuralladas cerradas
Requieren salvaguardas dinmicas y flexibles.
En cada urbanizacin de activos hay que incrustar salvaguardas dinmicas
Las salvaguardas crecen con la urbanizacin, la patrullan y cambian de
aspectos para burlar a agresores cada vez mas inteligentes.
Estructura: Submodelo de EVENTOS
(II)
3 vistas:
Vista esttica
Vista dinmica de tipo organizativo
Vista dinmica de tipo fsico
2 subescenarios:
Ataque: anlisis de los riesgos; parte de la materializacin de la amenaza o
agresin a uno o varios Tipos de Activos de la organizacin.
Defensa: gestin de los riesgos; muestra como se pueden articular frente a
cada ataque, las salvaguardas apropiadas.
Estructura: Submodelo de PROCESOS
(I)
4 etapas:
Planificacin del proyecto de Riesgos
Consideraciones iniciales para arrancar el proyecto de anlisis y gestin
de riesgos.
Estudia la oportunidad de realizarlo
Se definen objetivos que ha de cumplir y su mbito.
Planifica medios materiales y humanos para su realizacin
inicializando el lanzamiento del proyecto.
Anlisis de riesgos
Se identifican y valoran las diversas entidades, para obtener una
evaluacin del riesgo y una estimacin del umbral de riesgo deseable
Estructura: Submodelo de PROCESOS
(II)
Gestin de riesgos
Se identifican funciones y servicios de salvaguarda reductoras del riesgo.
Se seleccionan los que son aceptables en funcin de las salvaguardas
existentes y las restricciones, tras simular diversas combinaciones.
Seleccin de salvaguardas
Se prepara el plan de implantacin de los mecanismos de salvaguarda y los
procedimientos de seguimiento de la implantacin.
Se recopilan los documentos del AGR, para obtener los documentos finales del
proyecto y realizar las presentaciones de resultados a diversos niveles.
 Guas (I)

Gua de Aproximacin
Conceptos bsicos de seguridad de los sistemas de informacin.
Gua de Procedimientos
Representa el ncleo del mtodo.
Se completa con la Gua de Tcnicas. Ambas constituyen un conjunto
autosuficiente. Basta su contenido para comprender la terminologa y para
realizar el anlisis y gestin de riesgos de cualquier sistema de informacin
Orientada a como tratar los riesgos detectados.
Tiene en cuenta el avance cientfico, normativo y normalizador en materia de
seguridad de los sistemas de informacin.
 Guas (II)

Gua de Tcnicas
Proporciona las claves para comprender y seleccionar las tcnicas mas
adecuadas para los procedimientos de anlisis y gestin de riesgos de
seguridad de sistemas de informacin.
Gua para Responsables del Dominio Protegible
Dirigida a los Directivos cuyas Organizaciones utilicen sistemas de
informacin.
La corresponsabilidad en materia de seguridad entre directivos, usuarios y
tcnicos tiene en MAGERIT un marco preciso.
 Guas (III)

Gua para Desarrolladores de Aplicaciones

Orientada a contemplar los mecanismos de seguridad apropiados durante el
desarrollo de una aplicacin.
Diseada para ser utilizada como documento de referencia por los
desarrolladores de aplicaciones.
Arquitectura de la informacin y especificaciones de la interfaz
para el intercambio de datos
Permite que un tcnico informtico estructure la informacin que ha de
intercambiar en todo producto informtico semejante o relacionado con
la herramienta MAGERIT
 Herramientas oficiales

Herramienta 1 (introductoria)
Apoyo para la identificacin de riesgos menores a los que bastara aplicar
globalmente medidas bsicas de seguridad practica y de riesgos mayores a
cada uno de los cuales sern necesario aplicar un nuevo Anlisis y Gestin
de Riesgos mas detallado.
Herramienta 2 (Avanzada)
Permite realizar un Anlisis y Gestin de riesgos detallado y afrontar as
proyectos de complejidad media o alta en materia de seguridad.
 Conclusiones

MAGERIT estudia los peligros a los que se encuentra expuesto un

sistema de informacin y el entorno que le rodea de una forma
escalonada.
Da cobertura a cualquier tipo de posible sistema de informacin,
independientemente de su complicacin o importancia.
Se adapta a la complejidad de los sistemas, ya que permite ser aplicado
en mayor o menor profundidad.
Una iniciativa a tener en cuenta por 2 razones:
Es fruto del trabajo de un organismo de gran reputacin como es el Ministerio
de Administraciones Publicas
Es una metodologa de carcter publico y su utilizacin no requiere
autorizacin previa.