MODULO DE MATEMATICAS BÁSICAS universidad UNAD.pdf
Metodo de analisis de riesgos, Magerit
1. Fase 1. Reconocer Modelos
de Seguridad Informática
Universidad Nacional Abierta y a Distancia UNAD
Especialización en Seguridad Informática
Modelos y estándares de Seguridad Informática
Andrea Lorena Dávila Gómez
2018
2. Pasos para el análisis de riesgos basado
en MAGERIT (3.0)
“MAGERIT implementa el Proceso de Gestión de Riesgos dentro de un marco de
trabajo para que los órganos de gobierno tomes decisiones teniendo en cuenta
los riesgos derivados del uso de tecnologías de la información” (Magertit 3.0
1,4.Magerit, pág,7.)
Cuando una empresa quiere implementar su SGSI, MAGERIT sirve como referencia
y método de análisis de los riesgos, sin embargo no es la única metodología
aceptada para tal fin, ya que incluso la organización puede establecer su propia
metodología, llegando a unos resultados muy similares si hubiese usado MAGERIT
u otro método.
De acuerdo con MAGERIT 3.0, se siguen unos pasos para poder llegar a una
determinación de riesgos bastante aceptable, los pasos a seguir son los que se
explican a continuación:
3. Método de análisis de Riesgo (MAGERIT
3.0)
1. Determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de
qué perjuicio (coste) supondría su degradación.
Los activos son todo aquello que le generan valor a una organización y son valorados de acuerdo a su
función o contenido, siendo la información actualmente el activo más valioso.
Dentro de los activos se pueden encontrar no solo datos (información) sino servicios, software, recursos
de comunicación, personal de la organización ( que se hace importante en la medida en que maneje
información confidencial o crítica), recursos físicos, tecnologías, habilidades de las personas,
instalaciones,etc.
Como ejemplo podemos mencionar que para una empresa de diseño, las fotos tomadas pueden tener
más valor que una hoja de cálculo donde llevan un registro de herramientas de software usadas para
edición.
Los activos se identifican de acuerdo a la información que manejan y los servicios que prestan (activos
esenciales).
Los activos se deben: valorar, es decir, si se puede o no prescindir de ellos para el correcto
funcionamiento de la organización.
Dimensionar: que tanto se afectarían los tres pilares de la seguridad de la información (CID) si algo les
ocurre.
4. Método de análisis de Riesgo (MAGERIT
3.0)
2. Determinar a qué amenazas están expuestos aquellos activos.
Una amenaza es algo o alguien que puede causar un daño a la información o a la
empresa.
En este paso se deben identificar todas las posibles fuentes que amenacen a los
activos del paso 1. Entre las amenazas mas comunes se pueden encontrar:
Naturales: inundaciones, tormentas eléctricas, terremotos, etc.
Entorno: fallas eléctricas, contaminación, explosiones por calderas, etc.
Aplicaciones defectuosas: vulnerabilidades, que son las debilidades del sistema o
infraestructura (pueden ser malas configuraciones también).
Errores humanos (accidentales): cuando por error se manipula el activo o por
omisión.
Errores humanos (cometidos con premeditación): cuando las personas que tienen
acceso a la información la manipulan de forma intencional ya sea para beneficio
propio o de terceros, causando daños en la organización.
5. 2. Determinar a qué amenazas están
expuestos aquellos activos.
Aquí en este punto se debe:
Valorar las amenazas: que tan probable o que tan frecuente es que la amenaza se
materialice.
Determinar el impacto potencial: es la medida del impacto cuando una amenaza se ha
materializado.
Determinar el riesgo potencial: riesgo es la probabilidad de que algo o alguien cause un daño
en la organización y a su información. En este paso se pueden diferencias zonas de riesgo
(matriz de riesgo):
o Zona 1 (franja roja): riesgos muy probables que tienen un gran impacto de ser materializados.
o Zona 2 (franja amarilla): aquí se sitúan desde riesgos improbables de mediano impacto a
riesgos muy probables pero con un impacto bajo o muy bajo.
o Zona 3 (franja verde): se encuentran aquí los riesgos muy poco probables y con un bajo
impacto si se materializan.
o Zona 4 (franja naranja): aquí podemos ubicar los riesgos muy poco probables pero que
generarían un alto impacto en la organización si se llegan a materializar.
6. Método de análisis de Riesgo (MAGERIT
3.0)
3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo.
Las salvaguardas son los mecanismos tecnológicos que permiten minimizar la
materialización de un riesgo. Estas salvaguardas están determinadas según el tipo de
activo a proteger, ya que no es lo mismo proteger un equipo de cómputo que una
persona especializada en una disciplina.
Aquí en este paso se debe realizar la elección de las salvaguardas a aplicar, teniendo
en cuenta el tipo de activo, las amenazas y las dimensiones de seguridad que
requieren protección.
En este punto, se establece la declaración de aplicabilidad ya que no todas las
salvaguardas son aplicables dentro de la organización.
Para saber cuán eficaces son las salvaguardas, se debe tener en cuenta desde si es
técnicamente ideal para el riesgo para el cual fue usada hasta si los usuarios están
capacitados y con toma de conciencia frente a los riesgos.
Aquí se debe medir si las salvaguardas están implantadas de una forma ideal y si son
idóneas.
7. Método de análisis de Riesgo (MAGERIT
3.0)
4. Estimar el impacto, definido como el daño sobre el activo derivado de la
materialización de la amenaza. Impacto residual.
Aquí se tiene en cuenta las salvaguardas implementadas y la madurez del
proceso de gestión, dando como resultado un nuevo nivel de impacto (residual).
El impacto residual se puede definir como el impacto persistente después de la
aplicación de medidas para mitigar las consecuencias negativas dentro del
sistema.
8. Método de análisis de Riesgo (MAGERIT
3.0)
5. Estimar el riesgo, definido como el impacto ponderado con la tasa de
ocurrencia (o expectativa de materialización) de la amenaza.
Riesgo residual: es todo riesgo que persiste después de aplicadas las salvaguardas
y controles. Es un riesgo remanente que queda después de que se han
implementado de una forma eficaz los controles. (Rodríguez,I.,2014)
Es de aclarar que nunca una empresa u organización va a estar 100% protegida
frente a los riesgos, ya que dia a día salen nuevos peligros.
9. Bibiografía
Magerit. (2012). Versión 3,0. Madrid: Ministerio de Administraciones Públicas,
Secretaría General Técnica, pp.22-35.
Rodríguez,I. (2014). Auditool. Red global de conocimientos en auditoría y control
interno. Recuperado de https://www.auditool.org/blog/control-interno/3073-
que-es-el-riesgo-riesgo-inherente-y-riesgo-residual