1. MODELOS Y ESTANDARES DE SEGURIDAD INFORMATICA
Tutor: Julio Alberto Vargas
Ing Cesar Velez
Curso: 233002_3 / Año 2018
METODOLOGÍA DE RIESGOS
MAGERIT
2. MAGERIT
Es un proceso de la gestión de
riesgos , el cual sigue la
normatividad ISO 31000 y la cual
comprende un marco de trabajo que
en su mayoría sirve para gestionar
los estudios de riesgos en las
empresas, esto para el área de TI.
3. Metodología
Al hablar de MAGERIT, es estar al
frente a una metodología compuesta
por 7 pasos y donde 2 de estos se
pueden considerar parte fundamental
del paso que nos habla sobre las
amenazas:
1. Activos
2. Amenazas
3. Determinación del impacto potencia
4. Determinación del riesgo potencial
5. Salvaguardas
6. Impacto residual
7. Riesgo residual
4. o Este concepto sirve a su vez para
determinar el riesgo al cual estamos
expuestos por medio de unos pasos
secuenciales:
Poder identificar los activos importantes
para la empresa, la interrelación y el
valor, esto enfocado en como se
afectaría la degradación.
Lograr determinar a que tipo de
amenazas están expuestos los activos
tecnológicos de la compañía.
Validar que medidas preventivas hay
actualmente dispuestas y si son tan
eficaces respecto a los riesgos.
Medición del impacto, definiendo como
el tipo de amenaza causada sobre el
activo generado por el tipo de
materialización de la amenaza.
Pasos Secuenciales
6. o Debe identificarse y clasificar los
activos, teniendo en cuenta valor
cualitativo, cuantitativo, dimensiones
y valor de interrupción:
Datos: los que materializan la información
Servicios auxiliar necesarios para trabajar el
sistema
Aplicaciones informáticas: software que
permite manejar datos.
Equipos informáticos: de tipo hardware que
permiten hospedar los datos servicios y
aplicaciones.
Soportes de información: son los soportes de
información de datos
Equipamiento auxiliar: complementan el
material informático.
Redes de comunicaciones: permiten el
intercambio de datos
Instalaciones: las que acogen equipos
informáticos y de comunicaciones.
Personas: las que operan los elementos
anteriores
Activos
7. Consideraciones
Es entonces que al hablar de
MAGERIT toda amenaza debe
considerarse de la siguiente manera:
De origen natural
De origen industrial
Defecto de aplicaciones informáticas
Recursos humanos no cualificados
Amenazas mal intencionadas
8. o Determinar que puede afectar los
activos, importante lo que pueda
causar daño (cosas que ocurren):
Origen Natural: Terremotos, Avalanchas,
Lluvias y lo que conlleva a inundaciones.
Origen industrial: Incendios, Fallos
eléctricos, y contaminación ambiental.
Defectos de aplicaciones: Vulnerabilidades
en los equipamientos de aplicativos.
Causas por personas de tipo accidental:
los que se generan por error u omisión
Causados por personas de forma
deliberada: ataques internos, robos o
beneficio de bien propio.
Amenazas
Para todos estos riegos se debe tener
muy en cuenta el valor de la amenaza y
la degradación y una posibilidad que
esto se pueda materializar.
9. o Se le llama así a la medida del daño
probable sobre el sistema, la medida
entonces seria conocer el impacto de las
amenazas sobre el activo, es por esto que
la importancia seria poder derivar el
riesgo sin mas que tener muy en cuenta la
probabilidad de la ocurrencia.
ZONA 1: Riesgos de tipo probables y de alto
impacto.
ZONA 2: Franja amarilla que cubre un amplio
rango de situaciones improbables y de
impacto. Hasta situaciones probables de
impacto bajo o muy bajo.
ZONA 3: Riesgos improbables y de bajo
impacto
ZONA 4: Riesgos improbables pero de alto
impacto
Determinación del
riesgos potencial
Es por esto que decimos entonces que
el impacto y la probabilidad pueden
distinguirse en una seria de zonas que
se denominan tratamiento del riesgo.
11. o Son tipos de medidas preventivas o de
control que nos permiten proteger el
activo cuando la amenaza se materializa
logrando con esto mitigar el riesgo.
Salvaguardas
12. Referencias
Bibliograficas
Magerit , metodología practica para gestionar riesgos/
welivesecuriry /ESET/ Mayo 2013/Camilo Gutiérrez/
https://www.welivesecurity.com/la-es/2013/05/14/magerit-
metodologia-practica-para-gestionar-riesgos/
Magerit Metodologia , Portal de Administración Electrónica de
España/ Wikipedia /
https://es.wikipedia.org/wiki/Magerit_(metodolog%C3%ADa)
Magerit v.3, metodología de análisis y gestión de riesgos de los
sistemas de información / Guia de dominio protegido / D.Miguel
A / secretario de proyecto / Semagroup /Madrid /
http://dis.um.es/~barzana/Curso03_04/MAGERIT.pdf