MAGERIT: Metodologa de Anlisis y Gestin de Riesgos

1
MAGERIT Metodología de Análisis y Gestión de
Riesgos
ALBERTO GARVÍA GARCÍA CURSO 2004/2005
2
Índice

• Introducción
• Versiones de MAGERIT
• Sistemas de Información (SI)
• Descripción del modelo MAGERIT
• Guías Metodológicas
• Herramientas de apoyo
• Bibliografía

3
Introducción

• MAGERIT Metodología de Análisis y GEstión de
  Riesgos de los Sistemas de Información de las
  AdminisTraciones Públicas.
• Metodología de implantación de Sistemas de de
  Gestión de Seguridad de la Información (SGSI).
• De carácter público y elaborada por el Ministerio
  de Administraciones Públicas (MAP).

4
Versiones de MAGERIT

• Versión 1.0 publicada en 1998. Se presenta en 6
  guías metodológicas
• Guía de Aproximación.
• Guía de Procedimientos.
• Guía de Técnicas.
• Guía para Desarrolladores de Aplicaciones.
• Guía para Responsables del Dominio protegible.
• Referencia de Normas legales y técnicas.
• Está prevista la futura publicación de una
  versión 2.0.

5
Sistemas de Información (I)

• SI (Sistema de Información) mecanismo de soporte
  y tratamiento de la información. Ejemplos de SI
  son las bases de datos, disquetes, CDs, etc.
• SGSI herramienta de que dispone una organización
  para cumplir con los objetivos de seguridad
  definidos en su política de seguridad como son
  la integridad, confidencialidad y disponibilidad
  de la información, etc.
• Norma UNE 715022004 establece los requisitos
  para implantar, documentar y evaluar un SGSI.

6
Sistemas de Información (y II)

• Toda organización que desee realizar un estudio
  organizado en materia de seguridad debe llevar a
  cabo un proceso de Gestión de Seguridad de sus
  SI.
• De las diferentes fases que componen este
  proceso, MAGERIT sólo se ocupa de una el
  Análisis y Gestión de Riesgos.

7
Descripción de MAGERIT (I)

• El modelo MAGERIT persigue 2 objetivos
• Estudiar los riesgos asociados a un SI y su
  entorno.
• Recomendar las medidas necesarias para prevenir,
  impedir, reducir o controlar dichos riesgos.
• MAGERIT se apoya en 3 submodelos
• Submodelo de Elementos.
• Submodelo de Eventos.
• Submodelo de Procesos.

8
Descripción de MAGERIT (y II)

9
Submodelo de elementos (I)

• Se compone de 6 entidades
• Activos son los recursos del SI necesarios para
  que la organización funcione. Ejemplos personal,
  redes propias, software básico, etc.
• Amenaza evento que puede desencadenar un
  incidente en la organización, produciendo daños
  materiales o inmateriales en los activos. Al
  materializarse se transforman en Agresiones.
• Vulnerabilidad es el mecanismo de paso desde la
  Amenaza hasta la Agresión materializada.

10
Submodelo de elementos (II)

• Impacto resultado de la Agresión sobre el
  Activo. Tipos
• Impacto cuantitativo si representa pérdidas
  cuantitativas monetarizables.
• Impacto cualitativo con pérdidas orgánicas por
  ejemplo, daño de personas.
• Impacto cualitativo con pérdidas funcionales.
• Riesgo posibilidad de que se produzca un Impacto
  dado en la organización. El riesgo calculado se
  compara con el umbral de riesgo, tomando
  decisiones de reducción de riesgo en caso de
  superarlo.

11
Submodelo de elementos (y III)

• Salvaguardas para reducir el riesgo se necesita
  mejorar las salvaguardas existentes o incorporar
  otras nuevas. Tipos
• Salvaguarda preventiva se ejerce sobre la
  Vulnerabilidad, neutralizando la materialización
  de la Amenaza antes de que ésta actúe. Válida
  para Amenazas de origen humano, ya sean por error
  o intencionales.
• Salvaguarda curativa actúa sobre el Impacto,
  reduciendo el resultado de la Agresión, o sea
  después de ésta. Válida para amenazas de tipo
  Accidente.

12
Submodelo de eventos (I)

• Podemos presentar este modelo de forma intuitiva
  como una ciudad amurallada, en la que
• Los Activos están dentro.
• Las Amenazas son el enemigo exterior.
• Las Salvaguardas existentes son las murallas y
  sus brechas son las Vulnerabilidades.
• El ataque de las Amenazas aprovecha las brechas y
  causa Impactos en los Activos.

13
Submodelo de eventos (II)

• Esta forma de ver el submodelo de forma tan
  estática está cada vez más en desuso.
• Actualmente un símil más adecuado sería una
  ciudad abierta, casi sin murallas
  (salvaguardas).
• En ella, cada urbanización de Activos debe
  llevar incrustados mecanismos de salvaguarda
  dinámicos y flexibles (que crezcan con la
  urbanización, la patrullen y cambien de aspecto
  para burlar a unos agresores cada vez más
  inteligentes).

14
Submodelo de eventos (y III)

• MAGERIT ofrece 3 vistas de este submodelo
• Estática.
• Dinámica organizativa.
• Dinámica física.
• Existen 2 subescenarios donde actúan los
  elementos
• De ataque (análisis de riesgos) comienza en la
  Agresión a Activos.
• De defensa (gestión de riesgos) muestra cómo
  articular las salvaguardas frente a los Ataques.

15
Submodelo de Procesos (I)

• Está dividido en etapas, compuestas por
  actividades y éstas, a su vez, se desglosan en
  tareas.
• Etapas
• Planificación del Proyecto de Riesgos comprende
  las consideraciones iniciales para comenzar el
  proyecto (oportunidad de realizarlo, objetivos
  que ha de cumplir, medios materiales y humanos
  necesarios, etc.).
• Análisis de riesgos se evalúa el riesgo y se
  estima el umbral de riesgo deseable.
• Gestión de riesgos se identifican los mecanismos
  de salvaguardas para reducir el riesgo,
  seleccionando los más apropiados.

16
Submodelo de Procesos (y II)

• Selección de salvaguardas se elabora el plan de
  implantación de los mecanismos seleccionados.

17
Guías Metodológicas (I)

• Guía de Aproximación presenta los conceptos
  básicos de seguridad de los SI, con la finalidad
  de facilitar su comprensión por parte de personal
  no especialista. Está orientada a qué hacer para
  identificar la existencia de riesgos.
• Guía de Procedimientos está orientada a cómo
  tratar los riesgos detectados.
• Guía de Técnicas junto a la Guía de
  Procedimientos forman un conjunto autosuficiente,
  puesto que basta su contenido para comprender la
  terminología y para realizar el Análisis y
  Gestión de Riesgos de cualquier SI.

18
Guías Metodológicas (y II)

• Guía para Desarrolladores de Aplicaciones está
  diseñada para ser utilizada por los
  desarrolladores de aplicaciones, y está
  íntimamente ligada con la Metodología de
  Planificación y Desarrollo de Sistemas de
  Información, Métrica v2.1.
• Guía para Responsables del Dominio protegible
  explica cuál es el papel de los directivos
  "responsables de un dominio" en la realización
  del análisis y gestión de riesgos.
• Referencia de Normas legales y técnicas Lista de
  normas en materia de seguridad a fecha 31 de
  Diciembre de 1996.

19
Herramientas de apoyo

• Herramienta 1 Introductoria permite una primera
  aproximación al Análisis y Gestión de Riesgos y
  constituye un apoyo en la identificación de
  riesgos. El uso de esta herramienta es únicamente
  recomendable a efectos de demostración o de
  aplicación a entornos o situaciones no muy
  complejas.
• Herramienta 2 Avanzada permite realizar un
  Análisis y Gestión de riesgos detallado y
  afrontar así proyectos de complejidad media o
  alta en materia de seguridad.

20
Bibliografía

• Guías MAGERIT v.1.0
• http//www.csi.map.es/csi/herramientas/GuiasMager
  it.exe
• Ficha MAGERIT
• http//www.csi.map.es/csi/pg5m20.htm
• Foro de MAGERIT
• http//foro.map.es/
• Herramientas MAGERIT
• http//www.csi.map.es/csi/herramientas/Herramient
  aMagerit.exe