Este documento presenta el Marco de Trabajo para la Gestión de Riesgos (MAGERIT) como un método para que las organizaciones analicen sistemáticamente los riesgos derivados del uso de las tecnologías de la información. MAGERIT propone fases como el modelo de valor de los activos, el mapa de riesgos, la evaluación de salvaguardas y el plan de seguridad. El objetivo es que las organizaciones puedan gestionar mejor los riesgos de seguridad en dimensiones como la disponibilidad, integridad, confidencialidad y

1. MODELOS Y ESTANDARES EN SEGURIDAD INFORMÁTICA
POR:
GABRIEL JOSÉ DEL CASTILLO MELÉNDEZ
PRESENTADO A:
SALOMON GONZALEZ
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGIA E INGENIERIA
ECBTI
ESPECIALIZACIÓN SEGURIDAD INFORMÁTICA
2018

2. PASOS PARA EL ANÁLISIS DE RIESGOS BASADO
EN MAGERIT

3. MAGERIT
Responde a lo que se denomina proceso de gestión de los
riesgos en un marco de trabajo para que las organizaciones
tomen decisiones teniendo en cuenta los riesgos derivados
del uso de tecnologías de la información.

4. MARCO DE TRABAJO PARA LA GESTIÓN DE RIESGOS
Principios
Mandato y
compromiso
Diseño del
marco de trabajo
Diseño del
marco de trabajo
Diseño del
marco de trabajo
Diseño del
marco de trabajo
MARGERIT

5. CARACTERÍSTICAS
- DIRECTOS:
Concientizar a los responsables de las organizaciones de la existencia de riesgos y de la
necesidad de gestionarlos.
Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la
información y comunicaciones.
Descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control.
- INDIRECTOS:
Preparar a la organización para los procesos de evaluación, auditoria, certificación o
acreditación según corresponda el caso.

6. EVALUACIÓN, CERTIFICACIÓN, AUDITORIA Y
ACREDITACIÓN
Análisis de
riesgos
Modelo de
valor
Mapa de
riesgos
Gestión de
riesgos
Salvaguardas
Auditoría
evaluación de
seguridad
Resultados de
evaluación
Certificación
Acreditación
Registro

7. FASES DEL MÉTODO DE ANALISIS DE RIESGO
- Modelo de valor:
Caracterización del valor que representan los activos para la organización así como de las
dependencias entre los diferentes activos.
- Mapa de riesgos:
Relación de las amenazas a que están expuestos los activos.
- Declaración de aplicabilidad:
Para un conjunto de salvaguardas, se indica sin son de aplicación en el sistema de información
bajo estudio o si, por el contrario, carecen de sentido.
- Evaluación de salvaguardas:
Evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que afrontan.

8. FASES DEL MÉTODO DE ANALISIS DE RIESGO
- Estado de riesgos:
Caracterización de los activos por su riesgo residual; es decir, por lo que puede pasar tomando
en consideración las salvaguardas desplegadas.
- Informe de insuficiencia:
Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los
riesgos sobre el sistema. Es decir, recoge las vulnerabilidades del sistema, entendidas como
puntos débilmente protegidos por los que las amenazas podrían materializarse.
- Cumplimiento de normativa:
Satisfacción de unos requisitos. Declaración de que se ajusta y es conforme a la normativa
correspondiente.
- Plan de seguridad:
Conjunto de proyectos de seguridad que permiten materializar las decisiones de tratamiento de
riesgos.

9. DIMENSIONES DE LA SEGURIDAD
- Disponibilidad:
Disposición de los servicios a ser usados cuando sea necesario. La carencia de disponibilidad
supone una interrupción del servicio. La disponibilidad afecta directamente a la productividad
de las organizaciones.
- Integridad:
Mantenimiento de las características de completitud y corrección de los datos. Contra la
integridad, la información puede aparecer manipulada, corrupta o incompleta. La integridad
afecta directamente al correcto desempeño de las funciones de una organización.
- Confidencialidad:
Que la información llegue solamente a las personas autorizadas. Contra la confidencialidad o
secreto puedan darse fugas y filtraciones de información, así como accesos no autorizados. La
confidencialidad es una propiedad de difícil recuperación.

10. DIMENSIONES DE LA SEGURIDAD
- Autenticidad:
Propiedad o características consistente en que una entidad es quien dice ser o bien que
garantiza la fuente de la que proceden los datos. Contra la autenticidad de la información
podemos tener manipulación del rigen o el contenido de los datos. Contra la autenticidad de los
usuarios de los servicios de acceso, podemos tener suplantación de identidad.
- Trazabilidad:
Aseguramiento de que en todo momento se podrá determinar quien hizo que y en que
momento. La trazabilidad es esencial para analizar los incidentes, perseguir a los atacantes y
aprender de la experiencia. La trazabilidad se materializa en la integridad de los registros de
actividad.

11. GESTIÓN DE RIESGOS
- Riesgo:
Estimación del grado de exposición a que una amenaza se materialice sobre uno o mas activos
causando daños o perjuicios a la organización.
- Análisis de riesgo:
Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una
organización.

12. TOMA DE DECISIONES
- Tratamiento de los riesgos:
Proceso destinado a modificar el riesgo.
Existen múltiples formas de tratar un riesgo: evitar las circunstancias que lo provocan, reducir
las posibilidades de que ocurra, acotar sus consecuencias, compartirlo con otra organización
(típicamente contratando un servicio o un seguro de cobertura), o, en ultima instancia,
aceptando que pudiera ocurrir y previendo recursos para actuar cuando sea necesario.