SlideShare una empresa de Scribd logo

MAGERIT, metodología de gestión de riesgos en sistemas de información

Descargar como PPTX, PDF
M
MICHELCARLOSCUEVASSA

magerit

Ingeniería
1 de 26
METODOLOGIA MAGERIT I N T E G R A N T E S :  R U C A N A R E V E L O L U I S  P O R L E S A L D A V E J O S E  C U E V A S S A L I N A S M I C H E L  M O R A L E S J U L C A E R I C K
CONCEPTO MAGERIT es una metodología desarrollada para la gestión de riesgos en sistemas de información y seguridad. Su nombre es un acrónimo de "Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información". La metodología MAGERIT proporciona un marco estructurado y sistemático para identificar, evaluar y gestionar los riesgos asociados a los sistemas de información en una organización.
OBJETIVOS • Identificar y evaluar los riesgos: El objetivo principal de MAGERIT es identificar y evaluar los riesgos de seguridad de la información a los los que se enfrenta una organización. Proporciona un marco estructurado para identificar amenazas, vulnerabilidades y evaluar el impacto y la probabilidad de los riesgos. • Planificar y gestionar las medidas de seguridad: MAGERIT ayuda a las organizaciones a planificar y gestionar las medidas de seguridad seguridad necesarias para mitigar los riesgos identificados. Proporciona directrices para seleccionar las salvaguardas adecuadas adecuadas y definir planes de acción para su implementación. • Mejorar la toma de decisiones: La metodología MAGERIT brinda información objetiva y cuantificable sobre los riesgos de seguridad de la información. Esto permite a las organizaciones tomar decisiones informadas y asignar recursos de manera efectiva para proteger sus activos de información.
VENTAJAS • Enfoque sistemático: MAGERIT proporciona un enfoque estructurado y sistemático para el análisis y gestión de riesgos de seguridad de la información. Esto asegura que se sigan pasos claros y coherentes en el proceso, lo que facilita la comprensión y aplicación de la metodología. • Adaptabilidad: MAGERIT es una metodología flexible que puede adaptarse a diferentes contextos y entornos organizativos. Puede ser utilizado por organizaciones de diferentes tamaños y sectores para evaluar los riesgos de seguridad de sus sistemas de información. • Enfoque integral: MAGERIT aborda tanto los aspectos técnicos como los aspectos organizativos y legales relacionados con la seguridad de la información. Esto permite tener una visión integral de los riesgos y la implementación de salvaguardas adecuadas.
DESVENTAJAS • Complejidad: MAGERIT puede resultar complejo de implementar, especialmente para organizaciones que carecen de experiencia en gestión de riesgos o recursos especializados en seguridad de la información. Requiere tiempo, esfuerzo y conocimientos técnicos para aplicar la metodología de manera efectiva. • Limitaciones de evaluación: MAGERIT se basa en estimaciones subjetivas para evaluar el impacto y la probabilidad de los riesgos. Esto puede introducir cierta subjetividad en los resultados y requerir una revisión continua a medida que evolucionan las amenazas y las vulnerabilidades. • Orientación específica: MAGERIT fue desarrollado en el contexto español y su aplicación inicialmente se centró en las organizaciones del sector público español. Si bien puede adaptarse a otros entornos, puede requerir ajustes para cumplir con las necesidades y requisitos específicos de otras
GESTION DE RIESGOS La Gestión de Riesgos implica dos grandes tareas a realizar: • Análisis de riesgos, que permite determinar qué tiene la Organización y estimar lo que podría pasar. • Tratamiento de los riesgos, que permite organizar la defensa concienzuda y prudente, defendiendo para que no pase nada malo y al tiempo estando preparados para atajar las emergencias, sobrevivir a los incidentes y seguir operando en las mejores condiciones; como nada es perfecto, se dice que el riesgo se reduce a un nivel residual que la Dirección asume.
GESTION DE RIESGOS El análisis de riesgos considera los siguientes elementos: 1. Activos, que son los elementos del sistema de información (o estrechamente relacionados con este) que soportan la misión de la Organización 2. Amenazas, que son cosas que les pueden pasar a los activos causando un perjuicio a la Organización 3. Salvaguardas (o contra medidas), que son medidas de protección desplegadas para que aquellas amenazas no causen tanto daño. Con estos elementos se puede estimar: 1. El impacto: lo que podría pasar 2. El riesgo: lo que probablemente pase
ANALISIS DE RIESGOS EN MAGERIT • Alcance del proyecto: Es fundamental definir claramente el alcance del análisis de riesgos. Esto implica identificar los activos de información que serán considerados, los procesos o o sistemas involucrados y los límites de la evaluación. • Identificación de activos: Es importante identificar y catalogar los activos de información relevantes para la organización. Esto incluye datos, infraestructura, sistemas, equipos, software y cualquier otro componente crítico del sistema de información. • Análisis de amenazas y vulnerabilidades: Se debe realizar una evaluación exhaustiva de las amenazas que pueden afectar los activos y las vulnerabilidades presentes en el entorno. Esto implica identificar los eventos o circunstancias que podrían causar daño y las debilidades o fallos que podrían ser explotados.
ANALISIS DE RIESGOS EN MAGERIT • Evaluación de riesgos: Se realiza una evaluación cuantitativa o cualitativa de los riesgos identificados. Esto implica valorar el impacto potencial de cada riesgo, la probabilidad de que ocurra y el nivel de riesgo resultante. La valoración ayuda a priorizar los riesgos y enfocar los esfuerzos de gestión. • Selección de salvaguardas: Se deben seleccionar las salvaguardas adecuadas para mitigar los riesgos identificados. Estas pueden ser medidas técnicas, organizativas o legales que reduzcan la probabilidad de ocurrencia de una amenaza o o la vulnerabilidad de un activo. • Plan de gestión de riesgos: Se desarrolla un plan detallado que describe las acciones específicas para gestionar los riesgos. Esto incluye la asignación de responsabilidades, los plazos de implementación, los recursos necesarios y los indicadores clave de rendimiento.
ANALISIS DE RIESGOS EN MAGERIT • Implementación y seguimiento: Se lleva a cabo la implementación de las salvaguardas y se realiza un seguimiento continuo de su efectividad. Es importante supervisar la evolución de los riesgos, realizar auditorías periódicas y ajustar las medidas de seguridad según sea necesario. • Documentación y comunicación: Durante todo el proyecto, es fundamental documentar adecuadamente los hallazgos, resultados y decisiones tomadas. Además, es importante comunicar los riesgos identificados y las medidas de mitigación a las partes interesadas relevantes.
¿QUÉ SON LOS ACTIVOS? Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. En un sistema de información hay 2 cosas esenciales: la información que maneja y los servicios que presta. Estos activos esenciales marcan los requisitos de seguridad para todos los demás componentes del sistema.  Servicios auxiliares que se necesitan para poder organizar el sistema.  Las aplicaciones informáticas (software) que permiten manejar los datos.  Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y  servicios.  Los soportes de información que son dispositivos de almacenamiento de datos.  El equipamiento auxiliar que complementa el material informático.  Las redes de comunicaciones que permiten intercambiar datos.  Las instalaciones que acogen equipos informáticos y de comunicaciones
¿CUÁL ES EL VALOR DE LOS ACTIVOS? La valoración se debe realizar desde la perspectiva de la necesidad de proteger. Cuanto más valioso es un activo, mayor nivel de protección requeriremos en la dimensión (o dimensiones) de seguridad que sean pertinentes. El valor puede ser propio, o puede ser acumulado. Se dice que los activos inferiores en un esquema de dependencias, acumulan el valor de los activos que se apoyan en ellos. La valoración es la determinación del coste que supondría recuperarse de una incidencia que destrozara el activo. Hay muchos factores a considerar:  Coste de reposición: adquisición e instalación  Coste de mano de obra (especializada) invertida en recuperar (el valor) del activo  Lucro cesante: pérdida de ingresos  Daño a otros activos, propios o ajenos  Daño a personas  Daños medioambientales
¿QUÉ SON LAS AMENAZAS? Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño. Típicamente:  De origen natural. Hay accidentes naturales. Ante esos avatares el sistema de información es víctima pasiva, pero debemos tener en cuenta lo que puede suceder.  Del entorno (de origen industrial). Hay desastres ante los cuales el sistema de información es víctima pasiva; pero no por ser pasivos hay que permanecer indefensos.  Defectos de las aplicaciones. Hay problemas que nacen directamente en el equipamiento propio por defectos en su diseño o en su implementación, con consecuencias potencialmente negativas sobre el sistema  Causadas por las personas de forma accidental . Las personas con acceso al sistema de información pueden ser causa de problemas no intencionados, típicamente por error o por omisión.
¿AFECTAN LAS AMENZAS AL VALOR DE LOS ACTIVOS? Una vez determinado que una amenaza puede perjudicar a un activo, hay que valorar su influencia en el valor del activo, en dos sentidos: • Degradación: cuán perjudicado resultaría el [valor del] activo. La degradación mide el daño causado por un incidente en el supuesto de que ocurriera. La degradación se suele caracterizar como una fracción del valor del activo y así aparecen expresiones como que un activo se ha visto “totalmente degradado”, o “degradado en una pequeña fracción”. • probabilidad: cuán probable o improbable es que se materialice la amenaza. La probabilidad de ocurrencia es más compleja de determinar y de expresar. A veces se modela cualitativamente por medio de alguna escala nominal. A veces se modela numéricamente como una frecuencia de ocurrencia. Es habitual usar 1 año como referencia, de forma que se recurre a la tasa anual de ocurrencia como medida de la probabilidad de que algo ocurra.
¿QUÉ ES EL IMPACTO? Conociendo el valor de los activos y la degradación que causan las amenazas, es directo derivar el impacto que estas tendrían sobre el sistema. Se miden dos variables de impacto: • Impacto acumulado. Es el calculado sobre un activo teniendo en cuenta su valor acumulado (el propio mas el acumulado de los activos que dependen de él) y las amenazas a que está expuesto. • Impacto repercutido. Es el calculado sobre un activo teniendo en cuenta su valor propio y las amenazas a que están expuestos los activos de los que depende
¿QUÉ ES EL RIESGO POTENCIAL? Se denomina riesgo a la medida del daño probable sobre un sistema. Conociendo el impacto de las amenazas sobre los activos, para derivar el riesgo no hay más que tener en cuenta la probabilidad de ocurrencia. El riesgo crece con el impacto y con la probabilidad, pudiendo distinguirse una serie de zonas a tener en cuenta en el tratamiento del riesgo: zona 1 – riesgos muy probables y de muy alto impacto zona 2 – cubre un amplio rango desde situaciones improbables y de impacto medio, hasta situaciones muy probables pero de impacto bajo o muy bajo zona 3 – riesgos improbables y de bajo impacto zona 4 – riesgos improbables pero de muy alto impacto
¿QUÉ ES EL RIESGO POTENCIAL?
¿QUÉ SON LAS SALVAGUARDAS? Se definen las salvaguardas, o contra medidas, como aquellos procedimientos o mecanismos tecnológicos que reducen el riesgo. Ante el amplio abanico de posibles salvaguardas a considerar, es necesario hacer una criba inicial para quedarnos con aquellas que son relevantes para lo que hay que proteger. Además, es prudente establecer un principio de proporcionalidad y tener en cuenta: 1. El mayor o menor valor propio o acumulado sobre un activo, centrándonos en lo más valioso y obviando lo irrelevante 2. La mayor o menor probabilidad de que una amenaza ocurra, centrándonos en los riesgos más importantes (ver zonas de riesgo) 3. La cobertura del riesgo que proporcionan salvaguardas alternativas
¿QUÉ SON LAS SALVAGUARDAS? Esto lleva a dos tipos de declaraciones para excluir una cierta salvaguarda del conjunto de las que conviene analizar: No aplica – se dice cuando una salvaguarda no es de aplicación porque técnicamente no es adecuada al tipo de activos a proteger, no protege la dimensión necesaria o no protege frente a la amenaza en consideración No se justifica – se dice cuando la salvaguarda aplica, pero es desproporcionada al riesgo que tenemos que proteger
¿CÓMO AFECTAN LAS SALVAGUARDAS EN EL ANALISIS DE RIESGO? Las salvaguardas entran en el cálculo del riesgo de dos formas:  Reduciendo la probabilidad de las amenazas. Se llaman salvaguardas preventivas. Las ideales llegan a impedir completamente que la amenaza se materialice.  Limitando el daño causado. Hay salvaguardas que directamente limitan la posible degradación, mientras que otras permiten detectar inmediatamente el ataque para frenar que la degradación avance. Incluso algunas salvaguardas se limitan a permitir la pronta recuperación del sistema cuando la amenaza lo destruye. En cualquiera de las versiones, la amenaza se materializa; pero las consecuencias se limitan.
FASES 1.Inicio:  Establecimiento del alcance y objetivos del análisis de riesgos.  Identificación de los activos de información a proteger. 2.Preparación:  Recopilación de información sobre el sistema de información y sus características.  Identificación de los responsables y recursos disponibles para el análisis. 3.Análisis de riesgos:  Identificación de amenazas y vulnerabilidades.  Estimación del impacto y la probabilidad de que ocurran los riesgos.  Valoración del riesgo y determinación de su nivel.
FASES 4. Evaluación de riesgos:  Priorización de los riesgos identificados según su importancia y nivel de riesgo.  Determinación de las salvaguardas existentes y su efectividad. 5. Tratamiento de riesgos:  Selección de las salvaguardas necesarias para reducir los riesgos.  Definición de planes de acción para implementar las salvaguardas.  Asignación de responsabilidades y recursos. 6. Seguimiento:  Supervisión y control continuo de las salvaguardas implementadas.  Evaluación periódica de los riesgos y la efectividad de las medidas adoptadas.
TÉCNICAS UTILIZADAS 1.Catálogo de activos:  Identificación y clasificación de los activos de información de la organización. 2.Identificación y valoración de activos:  Identificación de los activos más relevantes y críticos para la organización.  Valoración de su importancia y valor. 3.Identificación de amenazas:  Identificación de los eventos o circunstancias que podrían causar daño a los activos de información.
TÉCNICAS UTILIZADAS 4. Identificación de vulnerabilidades:  Identificación de las debilidades o fallos en el sistema de información que podrían ser explotados por las amenazas. 5. Estimación de impacto:  Evaluación de las consecuencias y el alcance que tendría la materialización de un riesgo. 6. Estimación de la probabilidad:  Evaluación de la posibilidad de que ocurra una amenaza y se explote una vulnerabilidad.
TÉCNICAS UTILIZADAS 7. Valoración de riesgos:  Cálculo del nivel de riesgo mediante la combinación de la estimación de impacto y probabilidad. 8. Selección de salvaguardas:  Identificación y elección de las medidas de seguridad más adecuadas para mitigar los riesgos identificados.
MAGERIT, metodología de gestión de riesgos en sistemas de información

Recomendados

Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 
Administracion De Riesgos[1]
Administracion De Riesgos[1]Administracion De Riesgos[1]
Administracion De Riesgos[1]guest48e645
 
Metodo de analisis de riesgos, Magerit
Metodo de analisis de riesgos, MageritMetodo de analisis de riesgos, Magerit
Metodo de analisis de riesgos, MageritAndrea Lorena Dávila Gómez
 
Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo oceanicacumplimiento
 
Iso 31000 2009 risk management
Iso 31000 2009 risk managementIso 31000 2009 risk management
Iso 31000 2009 risk managementAlexander Velasque Rimac
 
05 enterprise risk management telkom 2011 value at risk
05 enterprise risk management telkom 2011 value at risk05 enterprise risk management telkom 2011 value at risk
05 enterprise risk management telkom 2011 value at riskwisnu wardhana, i nyoman
 
CISA Domain- 1 - InfosecTrain
CISA Domain- 1 - InfosecTrainCISA Domain- 1 - InfosecTrain
CISA Domain- 1 - InfosecTrainInfosecTrain
 
03.1 general control
03.1 general control03.1 general control
03.1 general controlMulyadi Yusuf
 

Recomendados

Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 
Administracion De Riesgos[1]
Administracion De Riesgos[1]Administracion De Riesgos[1]
Administracion De Riesgos[1]guest48e645
 
Metodo de analisis de riesgos, Magerit
Metodo de analisis de riesgos, MageritMetodo de analisis de riesgos, Magerit
Metodo de analisis de riesgos, MageritAndrea Lorena Dávila Gómez
 
Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo oceanicacumplimiento
 
Iso 31000 2009 risk management
Iso 31000 2009 risk managementIso 31000 2009 risk management
Iso 31000 2009 risk managementAlexander Velasque Rimac
 
05 enterprise risk management telkom 2011 value at risk
05 enterprise risk management telkom 2011 value at risk05 enterprise risk management telkom 2011 value at risk
05 enterprise risk management telkom 2011 value at riskwisnu wardhana, i nyoman
 
CISA Domain- 1 - InfosecTrain
CISA Domain- 1 - InfosecTrainCISA Domain- 1 - InfosecTrain
CISA Domain- 1 - InfosecTrainInfosecTrain
 
03.1 general control
03.1 general control03.1 general control
03.1 general controlMulyadi Yusuf
 
Operational Risk Management - A Gateway to managing the risk profile of your...
Operational Risk Management - A Gateway to managing the risk profile of your...Operational Risk Management - A Gateway to managing the risk profile of your...
Operational Risk Management - A Gateway to managing the risk profile of your...Eneni Oduwole
 
Internal Control & Risk Management Framework
Internal Control & Risk Management FrameworkInternal Control & Risk Management Framework
Internal Control & Risk Management FrameworkTreasury Consulting LLP
 
Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la...
Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la...Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la...
Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la...Hernan Huwyler, MBA CPA
 
AI03 Analis y gestion de riesgos
AI03 Analis y gestion de riesgosAI03 Analis y gestion de riesgos
AI03 Analis y gestion de riesgosPedro Garcia Repetto
 
Enterprise Risk Management Overview Powerpoint Presentation Slides
Enterprise Risk Management Overview Powerpoint Presentation SlidesEnterprise Risk Management Overview Powerpoint Presentation Slides
Enterprise Risk Management Overview Powerpoint Presentation SlidesSlideTeam
 
Control Standards for Information Security
Control Standards for Information SecurityControl Standards for Information Security
Control Standards for Information SecurityJohnHPazEMCPMPITIL5G
 
CISA DOMAIN 2 Governance & Management of IT
CISA DOMAIN 2 Governance & Management of ITCISA DOMAIN 2 Governance & Management of IT
CISA DOMAIN 2 Governance & Management of ITShivamSharma909
 
Implementation of Enterprise Risk Management with ISO 31000 Risk Management S...
Implementation of Enterprise Risk Management with ISO 31000 Risk Management S...Implementation of Enterprise Risk Management with ISO 31000 Risk Management S...
Implementation of Enterprise Risk Management with ISO 31000 Risk Management S...PECB
 
CISA Training - Chapter 1 - 2016
CISA Training - Chapter 1 - 2016CISA Training - Chapter 1 - 2016
CISA Training - Chapter 1 - 2016Hafiz Sheikh Adnan Ahmed
 
Gestion riesgo empresarial
Gestion riesgo empresarialGestion riesgo empresarial
Gestion riesgo empresarialCristian Bailey
 
Cybersecurity Risk Management Framework Strategy Workshop
Cybersecurity Risk Management Framework Strategy WorkshopCybersecurity Risk Management Framework Strategy Workshop
Cybersecurity Risk Management Framework Strategy WorkshopLife Cycle Engineering
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
CISA Domain 1 The Process On AUDITING INFORMATION SYSTEMS
CISA Domain 1 The Process On AUDITING INFORMATION SYSTEMSCISA Domain 1 The Process On AUDITING INFORMATION SYSTEMS
CISA Domain 1 The Process On AUDITING INFORMATION SYSTEMSShivamSharma909
 
CISA Domain 1 - IS Auditing (day 1)
CISA Domain 1 - IS Auditing (day 1)CISA Domain 1 - IS Auditing (day 1)
CISA Domain 1 - IS Auditing (day 1)Cyril Soeri
 
Iso 22301 sgcn bcms v 2020
Iso 22301 sgcn bcms v 2020Iso 22301 sgcn bcms v 2020
Iso 22301 sgcn bcms v 2020Primala Sistema de Gestion
 
Introduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkIntroduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkPECB
 
Information Systems Control and Audit - Chapter 3 - Top Management Controls -...
Information Systems Control and Audit - Chapter 3 - Top Management Controls -...Information Systems Control and Audit - Chapter 3 - Top Management Controls -...
Information Systems Control and Audit - Chapter 3 - Top Management Controls -...Sreekanth Narendran
 
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB
 
Operational Risk Management - Understanding Your Risk Landscape
Operational Risk Management - Understanding Your Risk LandscapeOperational Risk Management - Understanding Your Risk Landscape
Operational Risk Management - Understanding Your Risk LandscapeEneni Oduwole
 
How to implement NIST cybersecurity standards in my organization
How to implement NIST cybersecurity standards in my organizationHow to implement NIST cybersecurity standards in my organization
How to implement NIST cybersecurity standards in my organizationExigent Technologies LLC
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit MetodologiaAndres Soto Suarez
 
Segunf ud1 2
Segunf ud1 2Segunf ud1 2
Segunf ud1 2macase
 

Más contenido relacionado

La actualidad más candente

Operational Risk Management - A Gateway to managing the risk profile of your...
Operational Risk Management - A Gateway to managing the risk profile of your...Operational Risk Management - A Gateway to managing the risk profile of your...
Operational Risk Management - A Gateway to managing the risk profile of your...Eneni Oduwole
 
Internal Control & Risk Management Framework
Internal Control & Risk Management FrameworkInternal Control & Risk Management Framework
Internal Control & Risk Management FrameworkTreasury Consulting LLP
 
Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la...
Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la...Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la...
Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la...Hernan Huwyler, MBA CPA
 
Enterprise Risk Management Overview Powerpoint Presentation Slides
Enterprise Risk Management Overview Powerpoint Presentation SlidesEnterprise Risk Management Overview Powerpoint Presentation Slides
Enterprise Risk Management Overview Powerpoint Presentation SlidesSlideTeam
 
Control Standards for Information Security
Control Standards for Information SecurityControl Standards for Information Security
Control Standards for Information SecurityJohnHPazEMCPMPITIL5G
 
CISA DOMAIN 2 Governance & Management of IT
CISA DOMAIN 2 Governance & Management of ITCISA DOMAIN 2 Governance & Management of IT
CISA DOMAIN 2 Governance & Management of ITShivamSharma909
 
Implementation of Enterprise Risk Management with ISO 31000 Risk Management S...
Implementation of Enterprise Risk Management with ISO 31000 Risk Management S...Implementation of Enterprise Risk Management with ISO 31000 Risk Management S...
Implementation of Enterprise Risk Management with ISO 31000 Risk Management S...PECB
 
Gestion riesgo empresarial
Gestion riesgo empresarialGestion riesgo empresarial
Gestion riesgo empresarialCristian Bailey
 
Cybersecurity Risk Management Framework Strategy Workshop
Cybersecurity Risk Management Framework Strategy WorkshopCybersecurity Risk Management Framework Strategy Workshop
Cybersecurity Risk Management Framework Strategy WorkshopLife Cycle Engineering
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
CISA Domain 1 The Process On AUDITING INFORMATION SYSTEMS
CISA Domain 1 The Process On AUDITING INFORMATION SYSTEMSCISA Domain 1 The Process On AUDITING INFORMATION SYSTEMS
CISA Domain 1 The Process On AUDITING INFORMATION SYSTEMSShivamSharma909
 
CISA Domain 1 - IS Auditing (day 1)
CISA Domain 1 - IS Auditing (day 1)CISA Domain 1 - IS Auditing (day 1)
CISA Domain 1 - IS Auditing (day 1)Cyril Soeri
 
Introduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkIntroduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkPECB
 
Information Systems Control and Audit - Chapter 3 - Top Management Controls -...
Information Systems Control and Audit - Chapter 3 - Top Management Controls -...Information Systems Control and Audit - Chapter 3 - Top Management Controls -...
Information Systems Control and Audit - Chapter 3 - Top Management Controls -...Sreekanth Narendran
 
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB
 
Operational Risk Management - Understanding Your Risk Landscape
Operational Risk Management - Understanding Your Risk LandscapeOperational Risk Management - Understanding Your Risk Landscape
Operational Risk Management - Understanding Your Risk LandscapeEneni Oduwole
 
How to implement NIST cybersecurity standards in my organization
How to implement NIST cybersecurity standards in my organizationHow to implement NIST cybersecurity standards in my organization
How to implement NIST cybersecurity standards in my organizationExigent Technologies LLC
 

La actualidad más candente (20)

Operational Risk Management - A Gateway to managing the risk profile of your...
Operational Risk Management - A Gateway to managing the risk profile of your...Operational Risk Management - A Gateway to managing the risk profile of your...
Operational Risk Management - A Gateway to managing the risk profile of your...
 
Internal Control & Risk Management Framework
Internal Control & Risk Management FrameworkInternal Control & Risk Management Framework
Internal Control & Risk Management Framework
 
Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la...
Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la...Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la...
Marcos ISO 31.000 y COSO ERM para Controles Internos - De la competencia a la...
 
AI03 Analis y gestion de riesgos
AI03 Analis y gestion de riesgosAI03 Analis y gestion de riesgos
AI03 Analis y gestion de riesgos
 
Enterprise Risk Management Overview Powerpoint Presentation Slides
Enterprise Risk Management Overview Powerpoint Presentation SlidesEnterprise Risk Management Overview Powerpoint Presentation Slides
Enterprise Risk Management Overview Powerpoint Presentation Slides
 
Control Standards for Information Security
Control Standards for Information SecurityControl Standards for Information Security
Control Standards for Information Security
 
CISA DOMAIN 2 Governance & Management of IT
CISA DOMAIN 2 Governance & Management of ITCISA DOMAIN 2 Governance & Management of IT
CISA DOMAIN 2 Governance & Management of IT
 
Implementation of Enterprise Risk Management with ISO 31000 Risk Management S...
Implementation of Enterprise Risk Management with ISO 31000 Risk Management S...Implementation of Enterprise Risk Management with ISO 31000 Risk Management S...
Implementation of Enterprise Risk Management with ISO 31000 Risk Management S...
 
CISA Training - Chapter 1 - 2016
CISA Training - Chapter 1 - 2016CISA Training - Chapter 1 - 2016
CISA Training - Chapter 1 - 2016
 
Gestion riesgo empresarial
Gestion riesgo empresarialGestion riesgo empresarial
Gestion riesgo empresarial
 
Cybersecurity Risk Management Framework Strategy Workshop
Cybersecurity Risk Management Framework Strategy WorkshopCybersecurity Risk Management Framework Strategy Workshop
Cybersecurity Risk Management Framework Strategy Workshop
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
 
CISA Domain 1 The Process On AUDITING INFORMATION SYSTEMS
CISA Domain 1 The Process On AUDITING INFORMATION SYSTEMSCISA Domain 1 The Process On AUDITING INFORMATION SYSTEMS
CISA Domain 1 The Process On AUDITING INFORMATION SYSTEMS
 
CISA Domain 1 - IS Auditing (day 1)
CISA Domain 1 - IS Auditing (day 1)CISA Domain 1 - IS Auditing (day 1)
CISA Domain 1 - IS Auditing (day 1)
 
Iso 22301 sgcn bcms v 2020
Iso 22301 sgcn bcms v 2020Iso 22301 sgcn bcms v 2020
Iso 22301 sgcn bcms v 2020
 
Introduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkIntroduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security Framework
 
Information Systems Control and Audit - Chapter 3 - Top Management Controls -...
Information Systems Control and Audit - Chapter 3 - Top Management Controls -...Information Systems Control and Audit - Chapter 3 - Top Management Controls -...
Information Systems Control and Audit - Chapter 3 - Top Management Controls -...
 
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
 
Operational Risk Management - Understanding Your Risk Landscape
Operational Risk Management - Understanding Your Risk LandscapeOperational Risk Management - Understanding Your Risk Landscape
Operational Risk Management - Understanding Your Risk Landscape
 
How to implement NIST cybersecurity standards in my organization
How to implement NIST cybersecurity standards in my organizationHow to implement NIST cybersecurity standards in my organization
How to implement NIST cybersecurity standards in my organization
 

Similar a MAGERIT, metodología de gestión de riesgos en sistemas de información

Segunf ud1 2
Segunf ud1 2Segunf ud1 2
Segunf ud1 2macase
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONAny López
 
Riesgos y glosario
Riesgos y glosarioRiesgos y glosario
Riesgos y glosariocromerovarg
 
Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790albertodiego26
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticahreyna86
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticakayasoto
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
 
Presentacion2
Presentacion2Presentacion2
Presentacion2AGCR22
 
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...Unidad de Emprendimiento ambulante
 

Similar a MAGERIT, metodología de gestión de riesgos en sistemas de información (20)

Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
 
Segunf ud1 2
Segunf ud1 2Segunf ud1 2
Segunf ud1 2
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
 
Magerit
MageritMagerit
Magerit
 
Magerit
MageritMagerit
Magerit
 
Riesgos y glosario
Riesgos y glosarioRiesgos y glosario
Riesgos y glosario
 
Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Gestion de Riesgos
Gestion de RiesgosGestion de Riesgos
Gestion de Riesgos
 
xd2.0.pptx
xd2.0.pptxxd2.0.pptx
xd2.0.pptx
 
Análisis de riesgos informáticos
Análisis de riesgos informáticosAnálisis de riesgos informáticos
Análisis de riesgos informáticos
 
Seguridad
Seguridad Seguridad
Seguridad
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoría
 
Presentacion2
Presentacion2Presentacion2
Presentacion2
 
Seguridad informática.docx
Seguridad informática.docxSeguridad informática.docx
Seguridad informática.docx
 
Riesgosinformatica
RiesgosinformaticaRiesgosinformatica
Riesgosinformatica
 
01 riesgosinformatica
01 riesgosinformatica01 riesgosinformatica
01 riesgosinformatica
 
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
 

Último

Clase 1 Análisis Estructura. Para Arquitectura pptx
Clase 1 Análisis Estructura. Para Arquitectura pptxClase 1 Análisis Estructura. Para Arquitectura pptx
Clase 1 Análisis Estructura. Para Arquitectura pptxPaolaVillalba13
 
Físicas 1: Ecuaciones Dimensionales y Vectores
Físicas 1: Ecuaciones Dimensionales y VectoresFísicas 1: Ecuaciones Dimensionales y Vectores
Físicas 1: Ecuaciones Dimensionales y VectoresSegundo Silva Maguiña
 
Topografía 1 Nivelación y Carretera en la Ingenierías
Topografía 1 Nivelación y Carretera en la IngenieríasTopografía 1 Nivelación y Carretera en la Ingenierías
Topografía 1 Nivelación y Carretera en la IngenieríasSegundo Silva Maguiña
 
Descubrimiento de la penicilina en la segunda guerra mundial
Descubrimiento de la penicilina en la segunda guerra mundialDescubrimiento de la penicilina en la segunda guerra mundial
Descubrimiento de la penicilina en la segunda guerra mundialyajhairatapia
 
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfTAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfAntonioGonzalezIzqui
 
VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)
VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)
VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)ssuser6958b11
 
TEC-SEMANA 9-GRUPO1 SENATI SEGURIDAD Y PREVENCIÓN DE RIESGOS.pptx
TEC-SEMANA 9-GRUPO1 SENATI SEGURIDAD Y PREVENCIÓN DE RIESGOS.pptxTEC-SEMANA 9-GRUPO1 SENATI SEGURIDAD Y PREVENCIÓN DE RIESGOS.pptx
TEC-SEMANA 9-GRUPO1 SENATI SEGURIDAD Y PREVENCIÓN DE RIESGOS.pptxYEDSONJACINTOBUSTAMA
 
SOUDAL: Soluciones de sellado, pegado y hermeticidad
SOUDAL: Soluciones de sellado, pegado y hermeticidadSOUDAL: Soluciones de sellado, pegado y hermeticidad
SOUDAL: Soluciones de sellado, pegado y hermeticidadANDECE
 
Electromagnetismo Fisica FisicaFisica.pdf
Electromagnetismo Fisica FisicaFisica.pdfElectromagnetismo Fisica FisicaFisica.pdf
Electromagnetismo Fisica FisicaFisica.pdfAnonymous0pBRsQXfnx
 
LEYES DE EXPONENTES SEMANA 1 CESAR VALLEJO.pdf
LEYES DE EXPONENTES SEMANA 1 CESAR VALLEJO.pdfLEYES DE EXPONENTES SEMANA 1 CESAR VALLEJO.pdf
LEYES DE EXPONENTES SEMANA 1 CESAR VALLEJO.pdfAdelaHerrera9
 
Simbología de Soldadura, interpretacion y aplicacion en dibujo tecnico indus...
Simbología de Soldadura, interpretacion y aplicacion en dibujo tecnico indus...Simbología de Soldadura, interpretacion y aplicacion en dibujo tecnico indus...
Simbología de Soldadura, interpretacion y aplicacion en dibujo tecnico indus...esandoval7
 
Final Ashto método mecánica de suelos info
Final Ashto método mecánica de suelos infoFinal Ashto método mecánica de suelos info
Final Ashto método mecánica de suelos infoMEYERQuitoSalas
 
Parámetros de Perforación y Voladura. para Plataformas
Parámetros de Perforación y Voladura. para PlataformasParámetros de Perforación y Voladura. para Plataformas
Parámetros de Perforación y Voladura. para PlataformasSegundo Silva Maguiña
 
Una estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTUna estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTFundación YOD YOD
 
QUIMICA ORGANICA I ENOLES Y ENAMINAS LIBR
QUIMICA ORGANICA I ENOLES Y ENAMINAS LIBRQUIMICA ORGANICA I ENOLES Y ENAMINAS LIBR
QUIMICA ORGANICA I ENOLES Y ENAMINAS LIBRyanimarca23
 
AVANCE EXPEDIENTE TECNICO POROTO - TRUJILLO
AVANCE EXPEDIENTE TECNICO POROTO - TRUJILLOAVANCE EXPEDIENTE TECNICO POROTO - TRUJILLO
AVANCE EXPEDIENTE TECNICO POROTO - TRUJILLOSANTOSESTANISLAORODR
 
Edificio residencial Becrux en Madrid. Fachada de GRC
Edificio residencial Becrux en Madrid. Fachada de GRCEdificio residencial Becrux en Madrid. Fachada de GRC
Edificio residencial Becrux en Madrid. Fachada de GRCANDECE
 
Fijaciones de balcones prefabricados de hormigón - RECENSE
Fijaciones de balcones prefabricados de hormigón - RECENSEFijaciones de balcones prefabricados de hormigón - RECENSE
Fijaciones de balcones prefabricados de hormigón - RECENSEANDECE
 
3039_ftg_01Entregable 003_Matematica.pptx
3039_ftg_01Entregable 003_Matematica.pptx3039_ftg_01Entregable 003_Matematica.pptx
3039_ftg_01Entregable 003_Matematica.pptxJhordanGonzalo
 
Peligros de Excavaciones y Zanjas presentacion
Peligros de Excavaciones y Zanjas presentacionPeligros de Excavaciones y Zanjas presentacion
Peligros de Excavaciones y Zanjas presentacionOsdelTacusiPancorbo
 

Último (20)

Clase 1 Análisis Estructura. Para Arquitectura pptx
Clase 1 Análisis Estructura. Para Arquitectura pptxClase 1 Análisis Estructura. Para Arquitectura pptx
Clase 1 Análisis Estructura. Para Arquitectura pptx
 
Físicas 1: Ecuaciones Dimensionales y Vectores
Físicas 1: Ecuaciones Dimensionales y VectoresFísicas 1: Ecuaciones Dimensionales y Vectores
Físicas 1: Ecuaciones Dimensionales y Vectores
 
Topografía 1 Nivelación y Carretera en la Ingenierías
Topografía 1 Nivelación y Carretera en la IngenieríasTopografía 1 Nivelación y Carretera en la Ingenierías
Topografía 1 Nivelación y Carretera en la Ingenierías
 
Descubrimiento de la penicilina en la segunda guerra mundial
Descubrimiento de la penicilina en la segunda guerra mundialDescubrimiento de la penicilina en la segunda guerra mundial
Descubrimiento de la penicilina en la segunda guerra mundial
 
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfTAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
 
VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)
VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)
VIRUS FITOPATÓGENOS (GENERALIDADES EN PLANTAS)
 
TEC-SEMANA 9-GRUPO1 SENATI SEGURIDAD Y PREVENCIÓN DE RIESGOS.pptx
TEC-SEMANA 9-GRUPO1 SENATI SEGURIDAD Y PREVENCIÓN DE RIESGOS.pptxTEC-SEMANA 9-GRUPO1 SENATI SEGURIDAD Y PREVENCIÓN DE RIESGOS.pptx
TEC-SEMANA 9-GRUPO1 SENATI SEGURIDAD Y PREVENCIÓN DE RIESGOS.pptx
 
SOUDAL: Soluciones de sellado, pegado y hermeticidad
SOUDAL: Soluciones de sellado, pegado y hermeticidadSOUDAL: Soluciones de sellado, pegado y hermeticidad
SOUDAL: Soluciones de sellado, pegado y hermeticidad
 
Electromagnetismo Fisica FisicaFisica.pdf
Electromagnetismo Fisica FisicaFisica.pdfElectromagnetismo Fisica FisicaFisica.pdf
Electromagnetismo Fisica FisicaFisica.pdf
 
LEYES DE EXPONENTES SEMANA 1 CESAR VALLEJO.pdf
LEYES DE EXPONENTES SEMANA 1 CESAR VALLEJO.pdfLEYES DE EXPONENTES SEMANA 1 CESAR VALLEJO.pdf
LEYES DE EXPONENTES SEMANA 1 CESAR VALLEJO.pdf
 
Simbología de Soldadura, interpretacion y aplicacion en dibujo tecnico indus...
Simbología de Soldadura, interpretacion y aplicacion en dibujo tecnico indus...Simbología de Soldadura, interpretacion y aplicacion en dibujo tecnico indus...
Simbología de Soldadura, interpretacion y aplicacion en dibujo tecnico indus...
 
Final Ashto método mecánica de suelos info
Final Ashto método mecánica de suelos infoFinal Ashto método mecánica de suelos info
Final Ashto método mecánica de suelos info
 
Parámetros de Perforación y Voladura. para Plataformas
Parámetros de Perforación y Voladura. para PlataformasParámetros de Perforación y Voladura. para Plataformas
Parámetros de Perforación y Voladura. para Plataformas
 
Una estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTUna estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NIST
 
QUIMICA ORGANICA I ENOLES Y ENAMINAS LIBR
QUIMICA ORGANICA I ENOLES Y ENAMINAS LIBRQUIMICA ORGANICA I ENOLES Y ENAMINAS LIBR
QUIMICA ORGANICA I ENOLES Y ENAMINAS LIBR
 
AVANCE EXPEDIENTE TECNICO POROTO - TRUJILLO
AVANCE EXPEDIENTE TECNICO POROTO - TRUJILLOAVANCE EXPEDIENTE TECNICO POROTO - TRUJILLO
AVANCE EXPEDIENTE TECNICO POROTO - TRUJILLO
 
Edificio residencial Becrux en Madrid. Fachada de GRC
Edificio residencial Becrux en Madrid. Fachada de GRCEdificio residencial Becrux en Madrid. Fachada de GRC
Edificio residencial Becrux en Madrid. Fachada de GRC
 
Fijaciones de balcones prefabricados de hormigón - RECENSE
Fijaciones de balcones prefabricados de hormigón - RECENSEFijaciones de balcones prefabricados de hormigón - RECENSE
Fijaciones de balcones prefabricados de hormigón - RECENSE
 
3039_ftg_01Entregable 003_Matematica.pptx
3039_ftg_01Entregable 003_Matematica.pptx3039_ftg_01Entregable 003_Matematica.pptx
3039_ftg_01Entregable 003_Matematica.pptx
 
Peligros de Excavaciones y Zanjas presentacion
Peligros de Excavaciones y Zanjas presentacionPeligros de Excavaciones y Zanjas presentacion
Peligros de Excavaciones y Zanjas presentacion
 

MAGERIT, metodología de gestión de riesgos en sistemas de información

  • 1. METODOLOGIA MAGERIT I N T E G R A N T E S :  R U C A N A R E V E L O L U I S  P O R L E S A L D A V E J O S E  C U E V A S S A L I N A S M I C H E L  M O R A L E S J U L C A E R I C K
  • 2. CONCEPTO MAGERIT es una metodología desarrollada para la gestión de riesgos en sistemas de información y seguridad. Su nombre es un acrónimo de "Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información". La metodología MAGERIT proporciona un marco estructurado y sistemático para identificar, evaluar y gestionar los riesgos asociados a los sistemas de información en una organización.
  • 3. OBJETIVOS • Identificar y evaluar los riesgos: El objetivo principal de MAGERIT es identificar y evaluar los riesgos de seguridad de la información a los los que se enfrenta una organización. Proporciona un marco estructurado para identificar amenazas, vulnerabilidades y evaluar el impacto y la probabilidad de los riesgos. • Planificar y gestionar las medidas de seguridad: MAGERIT ayuda a las organizaciones a planificar y gestionar las medidas de seguridad seguridad necesarias para mitigar los riesgos identificados. Proporciona directrices para seleccionar las salvaguardas adecuadas adecuadas y definir planes de acción para su implementación. • Mejorar la toma de decisiones: La metodología MAGERIT brinda información objetiva y cuantificable sobre los riesgos de seguridad de la información. Esto permite a las organizaciones tomar decisiones informadas y asignar recursos de manera efectiva para proteger sus activos de información.
  • 4. VENTAJAS • Enfoque sistemático: MAGERIT proporciona un enfoque estructurado y sistemático para el análisis y gestión de riesgos de seguridad de la información. Esto asegura que se sigan pasos claros y coherentes en el proceso, lo que facilita la comprensión y aplicación de la metodología. • Adaptabilidad: MAGERIT es una metodología flexible que puede adaptarse a diferentes contextos y entornos organizativos. Puede ser utilizado por organizaciones de diferentes tamaños y sectores para evaluar los riesgos de seguridad de sus sistemas de información. • Enfoque integral: MAGERIT aborda tanto los aspectos técnicos como los aspectos organizativos y legales relacionados con la seguridad de la información. Esto permite tener una visión integral de los riesgos y la implementación de salvaguardas adecuadas.
  • 5. DESVENTAJAS • Complejidad: MAGERIT puede resultar complejo de implementar, especialmente para organizaciones que carecen de experiencia en gestión de riesgos o recursos especializados en seguridad de la información. Requiere tiempo, esfuerzo y conocimientos técnicos para aplicar la metodología de manera efectiva. • Limitaciones de evaluación: MAGERIT se basa en estimaciones subjetivas para evaluar el impacto y la probabilidad de los riesgos. Esto puede introducir cierta subjetividad en los resultados y requerir una revisión continua a medida que evolucionan las amenazas y las vulnerabilidades. • Orientación específica: MAGERIT fue desarrollado en el contexto español y su aplicación inicialmente se centró en las organizaciones del sector público español. Si bien puede adaptarse a otros entornos, puede requerir ajustes para cumplir con las necesidades y requisitos específicos de otras
  • 6. GESTION DE RIESGOS La Gestión de Riesgos implica dos grandes tareas a realizar: • Análisis de riesgos, que permite determinar qué tiene la Organización y estimar lo que podría pasar. • Tratamiento de los riesgos, que permite organizar la defensa concienzuda y prudente, defendiendo para que no pase nada malo y al tiempo estando preparados para atajar las emergencias, sobrevivir a los incidentes y seguir operando en las mejores condiciones; como nada es perfecto, se dice que el riesgo se reduce a un nivel residual que la Dirección asume.
  • 7. GESTION DE RIESGOS El análisis de riesgos considera los siguientes elementos: 1. Activos, que son los elementos del sistema de información (o estrechamente relacionados con este) que soportan la misión de la Organización 2. Amenazas, que son cosas que les pueden pasar a los activos causando un perjuicio a la Organización 3. Salvaguardas (o contra medidas), que son medidas de protección desplegadas para que aquellas amenazas no causen tanto daño. Con estos elementos se puede estimar: 1. El impacto: lo que podría pasar 2. El riesgo: lo que probablemente pase
  • 8. ANALISIS DE RIESGOS EN MAGERIT • Alcance del proyecto: Es fundamental definir claramente el alcance del análisis de riesgos. Esto implica identificar los activos de información que serán considerados, los procesos o o sistemas involucrados y los límites de la evaluación. • Identificación de activos: Es importante identificar y catalogar los activos de información relevantes para la organización. Esto incluye datos, infraestructura, sistemas, equipos, software y cualquier otro componente crítico del sistema de información. • Análisis de amenazas y vulnerabilidades: Se debe realizar una evaluación exhaustiva de las amenazas que pueden afectar los activos y las vulnerabilidades presentes en el entorno. Esto implica identificar los eventos o circunstancias que podrían causar daño y las debilidades o fallos que podrían ser explotados.
  • 9. ANALISIS DE RIESGOS EN MAGERIT • Evaluación de riesgos: Se realiza una evaluación cuantitativa o cualitativa de los riesgos identificados. Esto implica valorar el impacto potencial de cada riesgo, la probabilidad de que ocurra y el nivel de riesgo resultante. La valoración ayuda a priorizar los riesgos y enfocar los esfuerzos de gestión. • Selección de salvaguardas: Se deben seleccionar las salvaguardas adecuadas para mitigar los riesgos identificados. Estas pueden ser medidas técnicas, organizativas o legales que reduzcan la probabilidad de ocurrencia de una amenaza o o la vulnerabilidad de un activo. • Plan de gestión de riesgos: Se desarrolla un plan detallado que describe las acciones específicas para gestionar los riesgos. Esto incluye la asignación de responsabilidades, los plazos de implementación, los recursos necesarios y los indicadores clave de rendimiento.
  • 10. ANALISIS DE RIESGOS EN MAGERIT • Implementación y seguimiento: Se lleva a cabo la implementación de las salvaguardas y se realiza un seguimiento continuo de su efectividad. Es importante supervisar la evolución de los riesgos, realizar auditorías periódicas y ajustar las medidas de seguridad según sea necesario. • Documentación y comunicación: Durante todo el proyecto, es fundamental documentar adecuadamente los hallazgos, resultados y decisiones tomadas. Además, es importante comunicar los riesgos identificados y las medidas de mitigación a las partes interesadas relevantes.
  • 11. ¿QUÉ SON LOS ACTIVOS? Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. En un sistema de información hay 2 cosas esenciales: la información que maneja y los servicios que presta. Estos activos esenciales marcan los requisitos de seguridad para todos los demás componentes del sistema.  Servicios auxiliares que se necesitan para poder organizar el sistema.  Las aplicaciones informáticas (software) que permiten manejar los datos.  Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y  servicios.  Los soportes de información que son dispositivos de almacenamiento de datos.  El equipamiento auxiliar que complementa el material informático.  Las redes de comunicaciones que permiten intercambiar datos.  Las instalaciones que acogen equipos informáticos y de comunicaciones
  • 12. ¿CUÁL ES EL VALOR DE LOS ACTIVOS? La valoración se debe realizar desde la perspectiva de la necesidad de proteger. Cuanto más valioso es un activo, mayor nivel de protección requeriremos en la dimensión (o dimensiones) de seguridad que sean pertinentes. El valor puede ser propio, o puede ser acumulado. Se dice que los activos inferiores en un esquema de dependencias, acumulan el valor de los activos que se apoyan en ellos. La valoración es la determinación del coste que supondría recuperarse de una incidencia que destrozara el activo. Hay muchos factores a considerar:  Coste de reposición: adquisición e instalación  Coste de mano de obra (especializada) invertida en recuperar (el valor) del activo  Lucro cesante: pérdida de ingresos  Daño a otros activos, propios o ajenos  Daño a personas  Daños medioambientales
  • 13. ¿QUÉ SON LAS AMENAZAS? Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño. Típicamente:  De origen natural. Hay accidentes naturales. Ante esos avatares el sistema de información es víctima pasiva, pero debemos tener en cuenta lo que puede suceder.  Del entorno (de origen industrial). Hay desastres ante los cuales el sistema de información es víctima pasiva; pero no por ser pasivos hay que permanecer indefensos.  Defectos de las aplicaciones. Hay problemas que nacen directamente en el equipamiento propio por defectos en su diseño o en su implementación, con consecuencias potencialmente negativas sobre el sistema  Causadas por las personas de forma accidental . Las personas con acceso al sistema de información pueden ser causa de problemas no intencionados, típicamente por error o por omisión.
  • 14. ¿AFECTAN LAS AMENZAS AL VALOR DE LOS ACTIVOS? Una vez determinado que una amenaza puede perjudicar a un activo, hay que valorar su influencia en el valor del activo, en dos sentidos: • Degradación: cuán perjudicado resultaría el [valor del] activo. La degradación mide el daño causado por un incidente en el supuesto de que ocurriera. La degradación se suele caracterizar como una fracción del valor del activo y así aparecen expresiones como que un activo se ha visto “totalmente degradado”, o “degradado en una pequeña fracción”. • probabilidad: cuán probable o improbable es que se materialice la amenaza. La probabilidad de ocurrencia es más compleja de determinar y de expresar. A veces se modela cualitativamente por medio de alguna escala nominal. A veces se modela numéricamente como una frecuencia de ocurrencia. Es habitual usar 1 año como referencia, de forma que se recurre a la tasa anual de ocurrencia como medida de la probabilidad de que algo ocurra.
  • 15. ¿QUÉ ES EL IMPACTO? Conociendo el valor de los activos y la degradación que causan las amenazas, es directo derivar el impacto que estas tendrían sobre el sistema. Se miden dos variables de impacto: • Impacto acumulado. Es el calculado sobre un activo teniendo en cuenta su valor acumulado (el propio mas el acumulado de los activos que dependen de él) y las amenazas a que está expuesto. • Impacto repercutido. Es el calculado sobre un activo teniendo en cuenta su valor propio y las amenazas a que están expuestos los activos de los que depende
  • 16. ¿QUÉ ES EL RIESGO POTENCIAL? Se denomina riesgo a la medida del daño probable sobre un sistema. Conociendo el impacto de las amenazas sobre los activos, para derivar el riesgo no hay más que tener en cuenta la probabilidad de ocurrencia. El riesgo crece con el impacto y con la probabilidad, pudiendo distinguirse una serie de zonas a tener en cuenta en el tratamiento del riesgo: zona 1 – riesgos muy probables y de muy alto impacto zona 2 – cubre un amplio rango desde situaciones improbables y de impacto medio, hasta situaciones muy probables pero de impacto bajo o muy bajo zona 3 – riesgos improbables y de bajo impacto zona 4 – riesgos improbables pero de muy alto impacto
  • 17. ¿QUÉ ES EL RIESGO POTENCIAL?
  • 18. ¿QUÉ SON LAS SALVAGUARDAS? Se definen las salvaguardas, o contra medidas, como aquellos procedimientos o mecanismos tecnológicos que reducen el riesgo. Ante el amplio abanico de posibles salvaguardas a considerar, es necesario hacer una criba inicial para quedarnos con aquellas que son relevantes para lo que hay que proteger. Además, es prudente establecer un principio de proporcionalidad y tener en cuenta: 1. El mayor o menor valor propio o acumulado sobre un activo, centrándonos en lo más valioso y obviando lo irrelevante 2. La mayor o menor probabilidad de que una amenaza ocurra, centrándonos en los riesgos más importantes (ver zonas de riesgo) 3. La cobertura del riesgo que proporcionan salvaguardas alternativas
  • 19. ¿QUÉ SON LAS SALVAGUARDAS? Esto lleva a dos tipos de declaraciones para excluir una cierta salvaguarda del conjunto de las que conviene analizar: No aplica – se dice cuando una salvaguarda no es de aplicación porque técnicamente no es adecuada al tipo de activos a proteger, no protege la dimensión necesaria o no protege frente a la amenaza en consideración No se justifica – se dice cuando la salvaguarda aplica, pero es desproporcionada al riesgo que tenemos que proteger
  • 20. ¿CÓMO AFECTAN LAS SALVAGUARDAS EN EL ANALISIS DE RIESGO? Las salvaguardas entran en el cálculo del riesgo de dos formas:  Reduciendo la probabilidad de las amenazas. Se llaman salvaguardas preventivas. Las ideales llegan a impedir completamente que la amenaza se materialice.  Limitando el daño causado. Hay salvaguardas que directamente limitan la posible degradación, mientras que otras permiten detectar inmediatamente el ataque para frenar que la degradación avance. Incluso algunas salvaguardas se limitan a permitir la pronta recuperación del sistema cuando la amenaza lo destruye. En cualquiera de las versiones, la amenaza se materializa; pero las consecuencias se limitan.
  • 21. FASES 1.Inicio:  Establecimiento del alcance y objetivos del análisis de riesgos.  Identificación de los activos de información a proteger. 2.Preparación:  Recopilación de información sobre el sistema de información y sus características.  Identificación de los responsables y recursos disponibles para el análisis. 3.Análisis de riesgos:  Identificación de amenazas y vulnerabilidades.  Estimación del impacto y la probabilidad de que ocurran los riesgos.  Valoración del riesgo y determinación de su nivel.
  • 22. FASES 4. Evaluación de riesgos:  Priorización de los riesgos identificados según su importancia y nivel de riesgo.  Determinación de las salvaguardas existentes y su efectividad. 5. Tratamiento de riesgos:  Selección de las salvaguardas necesarias para reducir los riesgos.  Definición de planes de acción para implementar las salvaguardas.  Asignación de responsabilidades y recursos. 6. Seguimiento:  Supervisión y control continuo de las salvaguardas implementadas.  Evaluación periódica de los riesgos y la efectividad de las medidas adoptadas.
  • 23. TÉCNICAS UTILIZADAS 1.Catálogo de activos:  Identificación y clasificación de los activos de información de la organización. 2.Identificación y valoración de activos:  Identificación de los activos más relevantes y críticos para la organización.  Valoración de su importancia y valor. 3.Identificación de amenazas:  Identificación de los eventos o circunstancias que podrían causar daño a los activos de información.
  • 24. TÉCNICAS UTILIZADAS 4. Identificación de vulnerabilidades:  Identificación de las debilidades o fallos en el sistema de información que podrían ser explotados por las amenazas. 5. Estimación de impacto:  Evaluación de las consecuencias y el alcance que tendría la materialización de un riesgo. 6. Estimación de la probabilidad:  Evaluación de la posibilidad de que ocurra una amenaza y se explote una vulnerabilidad.
  • 25. TÉCNICAS UTILIZADAS 7. Valoración de riesgos:  Cálculo del nivel de riesgo mediante la combinación de la estimación de impacto y probabilidad. 8. Selección de salvaguardas:  Identificación y elección de las medidas de seguridad más adecuadas para mitigar los riesgos identificados.