Magerit que es

La CSAE1 ha elaborado y promueve MAGERIT como respuesta a la percepción de la Administración (y en general toda la sociedad) depende de forma creciente de las tecnologías de la información para la consecución de sus objetivos de servicio. La razón de ser de Magerit está directamente relacionada con la generalización del uso de los medios electrónicos, informáticos y telemáticos, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza en el uso de tales medios. El análisis de riesgos se ha consolidado como paso necesario para la gestión de la seguridad. Así se recoge claramente en las guías de la OCDE3 que, en su principio 6 dice: 6. Evaluación del riesgo. Los participantes deben llevar a cabo evaluaciones de riesgo. Conocer los riesgos al que están sometidos los sistemas de información con los que se trabaja es imprescindible para poder gestionarlos y por este motivo existen multitud de guías informales para la realización del análisis y gestión de riesgos, aproximaciones metódicas y herramientas de soporte. Todas estás guías (i
nformales, metódicas) buscan poder evaluar cuanto de seguros (o inseguros) están los sistemas de información, para evitar llevarse a engaño. Una aproximación metódica no dejar lugar a la improvisación, como es el caso de Magerit, no depende de la arbitrariedad del analista. El asunto no es tanto conocer la ausencia de incidentes como la confianza en que están bajo control: se sabe qué puede pasar y se sabe que hacer cuando pasa.

Objetivos de Magerit 

Directos: 1. concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo. 2. ofrecer un método sistemático para analizar tales riesgos. 3. ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control Indirectos: 1. preparar a la Organización para procesos de evaluación, auditoria, certificación o acreditación A su vez se ha buscado dar uniformidad a los informes que recogen los hallazgos y las conclusiones de un proyecto de análisis y gestión de riesgos. Modelo de valor Caracterización del valor que representan los activos para la Organización así como de las dependencias entre los diferentes activos. Mapa de riesgos Relación de las amenazas a las que están expuestos los activos. Evaluación de Salvaguardas Evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que afrontan. Estado de riesgo Caracterización de los activos por su riesgo residual; es decir, por lo que puede pasar teniendo en cuenta las salvaguardas desplegadas. Informe de insuficiencias Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre un sistema.

El análisis y gestión de riesgos en su contexto

 Las tareas de análisis y gestión de riesgos no son un fin en sí mismas sino que encajan en la actividad continua de gestión de la seguridad. El análisis de riesgos permite determinar como es, cuanto vale y como de protegidos se encuentran los activos. En coordinación con los objetivos, estrategia y política de la Organización, las actividades de gestión de riesgos permiten elaborar un plan de seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que es aceptable para la Dirección. Figura 4. Análisis y Gestión de Riesgos en su Contexto La implantación de los controles de seguridad requiere una organización gestionada y la participación informada de todo el personal que trabaja con el sistema de información. Este esquema de trabajo debe ser repetitivo pues los sistema de información raramente con inmutables; más bien se encuentran sometidos a evolución continua tanto propia (nuevos activos) como del entorno (nuevas amenazas), lo que exige una revisión periódica en la que se aprende de la experiencia y se adapta al nuevo contexto. Por este motivo la concienciación y formación del personal es un elemento muy importante a la hora de llevar a cabo una política de gestión de seguridad. La colaboración activa de las personas involucradas en el sistema de información es vital para su posterior éxito. Para Análisis y Gestión de riesgos Planificación Gestión de configuración y cambios Implantación de salvaguardas Incidencias y recuperación Concienciación y formación Organización Objetivos, estrategia y política MAGERIT Introducción 40 ello se ha de crear lo que se llama una “cultura de seguridad” en la cual estén implicados todos los niveles de la empresa desde la alta dirección hasta el más bajo nivel. El análisis de riesgos proporciona un modelo del sistema en términos de activos, amenazas y salvaguardas, y es la piedra angular para controlar todas las actividades con fundamento. La gestión de riesgos es la estructuración de as acciones de seguridad para satisfacer las necesidades detectadas por el análisis. Incidencias y recuperación Es importante crear una cultura de responsabilidad, asociada a la cultura de seguridad, donde los problemas potenciales, detectados por los que están cercanos a los activos afectados, puedan ser canalizados hacia los puntos de decisión. De esta forma el sistema de salvaguardas responderá a la realidad. Cuando se produce una incidencia, el tiempo empieza a correr contra el sistema: sus supervivencia depende de la presteza y corrección de las actividades de reporte y reacción. La madurez de la organización se refleja en la pulcritud y realismo de su modelo de valor y, consecuentemente, en la idoneidad de las salvaguardas de todo tipo, desde medidas técnicas hasta una óptima organización.