MAGERIT, metodología de gestión de riesgos en sistemas de información
1. METODOLOGIA
MAGERIT
I N T E G R A N T E S :
R U C A N A R E V E L O L U I S
P O R L E S A L D A V E J O S E
C U E V A S S A L I N A S M I C H E L
M O R A L E S J U L C A E R I C K
2. CONCEPTO
MAGERIT es una metodología desarrollada para la gestión de riesgos en sistemas de
información y seguridad. Su nombre es un acrónimo de "Metodología de Análisis y
Gestión de Riesgos de los Sistemas de Información". La metodología MAGERIT
proporciona un marco estructurado y sistemático para identificar, evaluar y gestionar los
riesgos asociados a los sistemas de información en una organización.
3. OBJETIVOS
• Identificar y evaluar los riesgos: El objetivo principal de MAGERIT es
identificar y evaluar los riesgos de seguridad de la información a los
los que se enfrenta una organización. Proporciona un marco
estructurado para identificar amenazas, vulnerabilidades y evaluar
el impacto y la probabilidad de los riesgos.
• Planificar y gestionar las medidas de seguridad: MAGERIT ayuda a
las organizaciones a planificar y gestionar las medidas de seguridad
seguridad necesarias para mitigar los riesgos identificados.
Proporciona directrices para seleccionar las salvaguardas adecuadas
adecuadas y definir planes de acción para su implementación.
• Mejorar la toma de decisiones: La metodología MAGERIT brinda
información objetiva y cuantificable sobre los riesgos de seguridad
de la información. Esto permite a las organizaciones tomar
decisiones informadas y asignar recursos de manera efectiva para
proteger sus activos de información.
4. VENTAJAS
• Enfoque sistemático: MAGERIT proporciona un enfoque
estructurado y sistemático para el análisis y gestión de riesgos
de seguridad de la información. Esto asegura que se sigan
pasos claros y coherentes en el proceso, lo que facilita la
comprensión y aplicación de la metodología.
• Adaptabilidad: MAGERIT es una metodología flexible que
puede adaptarse a diferentes contextos y entornos
organizativos. Puede ser utilizado por organizaciones de
diferentes tamaños y sectores para evaluar los riesgos de
seguridad de sus sistemas de información.
• Enfoque integral: MAGERIT aborda tanto los aspectos técnicos
como los aspectos organizativos y legales relacionados con la
seguridad de la información. Esto permite tener una visión
integral de los riesgos y la implementación de salvaguardas
adecuadas.
5. DESVENTAJAS
• Complejidad: MAGERIT puede resultar complejo de
implementar, especialmente para organizaciones que carecen
de experiencia en gestión de riesgos o recursos especializados
en seguridad de la información. Requiere tiempo, esfuerzo y
conocimientos técnicos para aplicar la metodología de manera
efectiva.
• Limitaciones de evaluación: MAGERIT se basa en estimaciones
subjetivas para evaluar el impacto y la probabilidad de los
riesgos. Esto puede introducir cierta subjetividad en los
resultados y requerir una revisión continua a medida que
evolucionan las amenazas y las vulnerabilidades.
• Orientación específica: MAGERIT fue desarrollado en el contexto
español y su aplicación inicialmente se centró en las
organizaciones del sector público español. Si bien puede
adaptarse a otros entornos, puede requerir ajustes para cumplir
con las necesidades y requisitos específicos de otras
6. GESTION DE RIESGOS
La Gestión de Riesgos implica dos grandes tareas a realizar:
• Análisis de riesgos, que permite determinar qué tiene la Organización y estimar lo que
podría pasar.
• Tratamiento de los riesgos, que permite organizar la defensa concienzuda y prudente,
defendiendo para que no pase nada malo y al tiempo estando preparados para atajar
las emergencias, sobrevivir a los incidentes y seguir operando en las mejores
condiciones; como nada es perfecto, se dice que el riesgo se reduce a un nivel residual
que la Dirección asume.
7. GESTION DE RIESGOS
El análisis de riesgos considera los siguientes elementos:
1. Activos, que son los elementos del sistema de información (o estrechamente
relacionados con este) que soportan la misión de la Organización
2. Amenazas, que son cosas que les pueden pasar a los activos causando un perjuicio a
la Organización
3. Salvaguardas (o contra medidas), que son medidas de protección desplegadas para
que aquellas amenazas no causen tanto daño.
Con estos elementos se puede estimar:
1. El impacto: lo que podría pasar
2. El riesgo: lo que probablemente pase
8. ANALISIS DE RIESGOS EN MAGERIT
• Alcance del proyecto: Es fundamental definir claramente el
alcance del análisis de riesgos. Esto implica identificar los
activos de información que serán considerados, los procesos o
o sistemas involucrados y los límites de la evaluación.
• Identificación de activos: Es importante identificar y catalogar
los activos de información relevantes para la organización.
Esto incluye datos, infraestructura, sistemas, equipos, software
y cualquier otro componente crítico del sistema de
información.
• Análisis de amenazas y vulnerabilidades: Se debe realizar una
evaluación exhaustiva de las amenazas que pueden afectar los
activos y las vulnerabilidades presentes en el entorno. Esto
implica identificar los eventos o circunstancias que podrían
causar daño y las debilidades o fallos que podrían ser
explotados.
9. ANALISIS DE RIESGOS EN MAGERIT
• Evaluación de riesgos: Se realiza una evaluación cuantitativa o
cualitativa de los riesgos identificados. Esto implica valorar el
impacto potencial de cada riesgo, la probabilidad de que
ocurra y el nivel de riesgo resultante. La valoración ayuda a
priorizar los riesgos y enfocar los esfuerzos de gestión.
• Selección de salvaguardas: Se deben seleccionar las
salvaguardas adecuadas para mitigar los riesgos identificados.
Estas pueden ser medidas técnicas, organizativas o legales
que reduzcan la probabilidad de ocurrencia de una amenaza o
o la vulnerabilidad de un activo.
• Plan de gestión de riesgos: Se desarrolla un plan detallado
que describe las acciones específicas para gestionar los
riesgos. Esto incluye la asignación de responsabilidades, los
plazos de implementación, los recursos necesarios y los
indicadores clave de rendimiento.
10. ANALISIS DE RIESGOS EN MAGERIT
• Implementación y seguimiento: Se lleva a cabo la
implementación de las salvaguardas y se realiza un
seguimiento continuo de su efectividad. Es importante
supervisar la evolución de los riesgos, realizar auditorías
periódicas y ajustar las medidas de seguridad según sea
necesario.
• Documentación y comunicación: Durante todo el proyecto, es
fundamental documentar adecuadamente los hallazgos,
resultados y decisiones tomadas. Además, es importante
comunicar los riesgos identificados y las medidas de
mitigación a las partes interesadas relevantes.
11. ¿QUÉ SON LOS ACTIVOS?
Componente o funcionalidad de un sistema de información susceptible de ser atacado
deliberada o accidentalmente con consecuencias para la organización. En un sistema de
información hay 2 cosas esenciales: la información que maneja y los servicios que presta.
Estos activos esenciales marcan los requisitos de seguridad para todos los demás
componentes del sistema.
Servicios auxiliares que se necesitan para poder organizar el sistema.
Las aplicaciones informáticas (software) que permiten manejar los datos.
Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y
servicios.
Los soportes de información que son dispositivos de almacenamiento de datos.
El equipamiento auxiliar que complementa el material informático.
Las redes de comunicaciones que permiten intercambiar datos.
Las instalaciones que acogen equipos informáticos y de comunicaciones
12. ¿CUÁL ES EL VALOR DE LOS ACTIVOS?
La valoración se debe realizar desde la perspectiva de la necesidad de proteger. Cuanto
más valioso es un activo, mayor nivel de protección requeriremos en la dimensión (o
dimensiones) de seguridad que sean pertinentes.
El valor puede ser propio, o puede ser acumulado. Se dice que los activos inferiores en
un esquema de dependencias, acumulan el valor de los activos que se apoyan en ellos.
La valoración es la determinación del coste que supondría recuperarse de una incidencia
que destrozara el activo. Hay muchos factores a considerar:
Coste de reposición: adquisición e instalación
Coste de mano de obra (especializada) invertida en recuperar (el valor) del activo
Lucro cesante: pérdida de ingresos
Daño a otros activos, propios o ajenos
Daño a personas
Daños medioambientales
13. ¿QUÉ SON LAS AMENAZAS?
Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que
puede pasarle a nuestros activos y causar un daño. Típicamente:
De origen natural. Hay accidentes naturales. Ante esos avatares el sistema de información es
víctima pasiva, pero debemos tener en cuenta lo que puede suceder.
Del entorno (de origen industrial). Hay desastres ante los cuales el sistema de información es
víctima pasiva; pero no por ser pasivos hay que permanecer indefensos.
Defectos de las aplicaciones. Hay problemas que nacen directamente en el equipamiento
propio por defectos en su diseño o en su implementación, con consecuencias potencialmente
negativas sobre el sistema
Causadas por las personas de forma accidental . Las personas con acceso al sistema de
información pueden ser causa de problemas no intencionados, típicamente por error o por
omisión.
14. ¿AFECTAN LAS AMENZAS AL VALOR DE
LOS ACTIVOS?
Una vez determinado que una amenaza puede perjudicar a un activo, hay que valorar su
influencia en el valor del activo, en dos sentidos:
• Degradación: cuán perjudicado resultaría el [valor del] activo. La degradación mide el daño
causado por un incidente en el supuesto de que ocurriera. La degradación se suele caracterizar
como una fracción del valor del activo y así aparecen expresiones como que un activo se ha
visto “totalmente degradado”, o “degradado en una pequeña fracción”.
• probabilidad: cuán probable o improbable es que se materialice la amenaza. La probabilidad
de ocurrencia es más compleja de determinar y de expresar. A veces se modela
cualitativamente por medio de alguna escala nominal. A veces se modela numéricamente
como una frecuencia de ocurrencia. Es habitual usar 1 año como referencia, de forma que se
recurre a la tasa anual de ocurrencia como medida de la probabilidad de que algo ocurra.
15. ¿QUÉ ES EL IMPACTO?
Conociendo el valor de los activos y la degradación que causan las amenazas, es directo
derivar el impacto que estas tendrían sobre el sistema. Se miden dos variables de
impacto:
• Impacto acumulado. Es el calculado sobre un activo teniendo en cuenta su valor acumulado
(el propio mas el acumulado de los activos que dependen de él) y las amenazas a que está
expuesto.
• Impacto repercutido. Es el calculado sobre un activo teniendo en cuenta su valor propio y las
amenazas a que están expuestos los activos de los que depende
16. ¿QUÉ ES EL RIESGO POTENCIAL?
Se denomina riesgo a la medida del daño probable sobre un sistema. Conociendo el
impacto de las amenazas sobre los activos, para derivar el riesgo no hay más que tener
en cuenta la probabilidad de ocurrencia.
El riesgo crece con el impacto y con la probabilidad, pudiendo distinguirse una serie de
zonas a tener en cuenta en el tratamiento del riesgo:
zona 1 – riesgos muy probables y de muy alto impacto
zona 2 – cubre un amplio rango desde situaciones improbables y de impacto medio,
hasta situaciones muy probables pero de impacto bajo o muy bajo
zona 3 – riesgos improbables y de bajo impacto
zona 4 – riesgos improbables pero de muy alto impacto
18. ¿QUÉ SON LAS SALVAGUARDAS?
Se definen las salvaguardas, o contra medidas, como aquellos procedimientos o
mecanismos tecnológicos que reducen el riesgo. Ante el amplio abanico de posibles
salvaguardas a considerar, es necesario hacer una criba inicial para quedarnos con
aquellas que son relevantes para lo que hay que proteger.
Además, es prudente establecer un principio de proporcionalidad y tener en cuenta:
1. El mayor o menor valor propio o acumulado sobre un activo, centrándonos en lo más
valioso y obviando lo irrelevante
2. La mayor o menor probabilidad de que una amenaza ocurra, centrándonos en los riesgos
más importantes (ver zonas de riesgo)
3. La cobertura del riesgo que proporcionan salvaguardas alternativas
19. ¿QUÉ SON LAS SALVAGUARDAS?
Esto lleva a dos tipos de declaraciones para excluir una cierta salvaguarda del conjunto
de las que conviene analizar:
No aplica – se dice cuando una salvaguarda no es de aplicación porque técnicamente
no es adecuada al tipo de activos a proteger, no protege la dimensión necesaria o no
protege frente a la amenaza en consideración
No se justifica – se dice cuando la salvaguarda aplica, pero es desproporcionada al
riesgo que tenemos que proteger
20. ¿CÓMO AFECTAN LAS SALVAGUARDAS EN
EL ANALISIS DE RIESGO?
Las salvaguardas entran en el cálculo del riesgo de dos formas:
Reduciendo la probabilidad de las amenazas. Se llaman salvaguardas preventivas. Las
ideales llegan a impedir completamente que la amenaza se materialice.
Limitando el daño causado. Hay salvaguardas que directamente limitan la posible
degradación, mientras que otras permiten detectar inmediatamente el ataque para frenar
que la degradación avance. Incluso algunas salvaguardas se limitan a permitir la pronta
recuperación del sistema cuando la amenaza lo destruye. En cualquiera de las versiones, la
amenaza se materializa; pero las consecuencias se limitan.
21. FASES
1.Inicio:
Establecimiento del alcance y objetivos del análisis de riesgos.
Identificación de los activos de información a proteger.
2.Preparación:
Recopilación de información sobre el sistema de información y sus características.
Identificación de los responsables y recursos disponibles para el análisis.
3.Análisis de riesgos:
Identificación de amenazas y vulnerabilidades.
Estimación del impacto y la probabilidad de que ocurran los riesgos.
Valoración del riesgo y determinación de su nivel.
22. FASES
4. Evaluación de riesgos:
Priorización de los riesgos identificados según su importancia y nivel de riesgo.
Determinación de las salvaguardas existentes y su efectividad.
5. Tratamiento de riesgos:
Selección de las salvaguardas necesarias para reducir los riesgos.
Definición de planes de acción para implementar las salvaguardas.
Asignación de responsabilidades y recursos.
6. Seguimiento:
Supervisión y control continuo de las salvaguardas implementadas.
Evaluación periódica de los riesgos y la efectividad de las medidas adoptadas.
23. TÉCNICAS UTILIZADAS
1.Catálogo de activos:
Identificación y clasificación de los activos de información de la
organización.
2.Identificación y valoración de activos:
Identificación de los activos más relevantes y críticos para la
organización.
Valoración de su importancia y valor.
3.Identificación de amenazas:
Identificación de los eventos o circunstancias que podrían causar daño
a los activos de información.
24. TÉCNICAS UTILIZADAS
4. Identificación de vulnerabilidades:
Identificación de las debilidades o fallos en el sistema de información
que podrían ser explotados por las amenazas.
5. Estimación de impacto:
Evaluación de las consecuencias y el alcance que tendría la
materialización de un riesgo.
6. Estimación de la probabilidad:
Evaluación de la posibilidad de que ocurra una amenaza y se explote
una vulnerabilidad.
25. TÉCNICAS UTILIZADAS
7. Valoración de riesgos:
Cálculo del nivel de riesgo mediante la combinación de la estimación de impacto y
probabilidad.
8. Selección de salvaguardas:
Identificación y elección de las medidas de seguridad más adecuadas para mitigar los
riesgos identificados.