Magerit

MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, que permite estudiar los riesgos que soporta un sistema de información y el entorno asociado a él.

MAGERIT propone la realización de un análisis de los riesgos que implica la evaluación del impacto que una violación de la seguridad tiene en la organización; señala los riesgos existentes, identificando las amenazas que acechan al sistema de información, y determina la vulnerabilidad del sistema de prevención de dichas amenazas, obteniendo unos resultados.

Los resultados del análisis de riesgos permiten a la Gestión de Riesgos recomendar las medidas apropiadas que deberían adoptarse para conocer, prevenir, impedir, reducir o controlar los riesgos identificados y así reducir al mínimo su potencialidad o sus posibles perjuicios. MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a protegerlo.

Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista. El análisis y gestión de los riesgos es un aspecto clave del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica que tiene la finalidad de poder dar satisfacción al principio de proporcionalidad en el cumplimiento de los principios básicos y requisitos mínimos para la protección adecuada de la información.

En esta línea presentamos este documento, en el que resaltamos los aspectos fundamentales del método Magerit, el cual confiamos que sea de utilidad para todos los que nos vemos involucrados en hacer frente a los retos planteados en este proceso de cambio.

El análisis del riesgo

Un análisis de riesgos TIC es recomendable en cualquier Organización que dependa de los sistemas de información para el cumplimiento de su misión.

En particular en cualquier entorno donde se practique la tramitación electrónica de bienes y servicios, sea en contexto público o privado.

El análisis de riesgos permite tomar decisiones de gestión y asignar recursos con perspectiva de negocio, sean tecnológicos, humanos o financieros.

El análisis de riesgos es una herramienta de gestión que permite tomar decisiones. Las decisiones pueden tomarse antes de desplegar un servicio o con éste funcionando. Es muy deseable hacerlo antes, de forma que las medidas que haya que tomar se incorporen en el diseño del servicio, en la elección de componentes, en el desarrollo del sistema y en los manuales de usuario. Todo lo que sea corregir riesgos imprevistos es costoso en tiempo propio y ajeno, lo que puede ir en detrimento de la imagen prestada por la Organización y puede suponer, en último extremo, la pérdida de confianza en su capacidad. Siempre se ha dicho que es mejor prevenir que curar y aquí se aplica: no espere a que un servicio haga agua; hay que prever y estar prevenido.

Punto de referencia a esta temática:

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html

Realizar un análisis de riesgos es laborioso y costoso. Levantar un mapa de activos y valorarlos requiere la colaboración de muchos perfiles dentro de la Organización, desde los niveles de gerencia hasta los técnicos. Y no solo es que haya que involucrar a muchas personas, sino que hay que lograr una uniformidad de criterio entre todos pues, si importante es cuantificar los riesgos, más importante aún es relativizarlos. Y esto es así porque típicamente en un análisis de riesgos aparecen multitud de datos. La única forma de afrontar la complejidad es centrarse en lo más importante (máximo impacto, máximo riesgo) y obviar lo que es secundario o incluso despreciable. Pero si los riesgos no están bien ordenados en términos relativos, su interpretación es imposible.

En resumen, un análisis de riesgos no es una tarea menor que realiza cualquiera en sus ratos libres. Es una tarea mayor que requiere esfuerzo y coordinación. Por tanto debe ser planificada y justificada.

La gestión del riesgo

La Gestión de Riesgos implica dos grandes tareas a realizar:

  • Análisis de riesgos, que permite determinar qué tiene la Organización y estimar lo que podría pasar.
  • Tratamiento de los riesgos, que permite organizar la defensa concienzuda y prudente, defendiendo para que no pase nada malo y al tiempo estando preparados para atajar las emergencias, sobrevivir a los incidentes y seguir operando en las mejores condiciones; como nada es perfecto, se dice que el riesgo se reduce a un nivel residual que la Dirección asume. Ambas actividades, análisis y tratamiento se combinan en el proceso denominado Gestión de Riesgos.

El análisis de riesgos considera los siguientes elementos:

  1. Activos, que son los elementos del sistema de información (o estrechamente relacionados con este) que soportan la misión de la Organización.
  2. Amenazas, que son cosas que les pueden pasar a los activos causando un perjuicio a la Organización.
  3. Salvaguardas (o contra medidas), que son medidas de protección desplegadas para que aquellas amenazas no causen [tanto] daño.

Con estos elementos se puede estimar:

  1. El impacto: lo que podría pasar.
  2. El riesgo: lo que probablemente pase.

El análisis de riesgos permite analizar estos elementos de forma metódica para llegar a conclusiones con fundamento y proceder a la fase de tratamiento. Informalmente, se puede decir que la gestión de la seguridad de un sistema de información es la gestión de sus riesgos y que el análisis permite racionalizar dicha gestión.

El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos pasos pautados:

  1. Determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación.
  2. Determinar a qué amenazas están expuestos aquellos activos.
  3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo.
  4. Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza
  5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza Estas valoraciones son teóricas en el caso de que no hubiera salvaguarda alguna desplegada. Una vez obtenido este escenario teórico, se incorporan las salvaguardas del paso 3, derivando estimaciones realistas de impacto y riesgo

Conclusión

Todas las administraciones públicas están obligadas a tener implantado el ENS, por lo que la herramienta para el análisis de riesgo recomendada será Pilar, si bien Pilar no es todo lo amigable que pueden ser otras herramientas, es la que permite exportar el formato de datos al CCN-CERT para informar el estado de la ciberseguridad en cada entidad. Por tal motivo tiene compatibilidad con herramientas como ClaraLucía.

Por lo que independientemente de que se use Pilar, Excel o una aplicación de un tercero para realizar la gestión del riesgo. La metodología está clara que tendrá que ser Magerit.

Aquí hay unas guías técnicas al respecto de Magerit:

2012_Magerit_v3_libro3_guia-de-tecnicas_es_NIPO_630-12-171-8Descargar

0 Comentarios