Es la metodología de análisis y
gestión de riesgos elaborada por el Consejo Superior de Administración
Electrónica que estima que la gestión de los riesgos es una piedra angular en
las guías de buen gobierno. Entre sus objetivos se encuentran Ofrecer un método
sistemático para analizar tales riesgos; apoyar la preparación a la organización
para procesos de evaluación, auditoria, certificación o acreditación, según
corresponda en cada caso; ayudar a descubrir y planificar las medidas oportunas
para mantener los riesgos bajo control y concienciar a los responsables de los
SI de la existencia de riesgos y de la
necesidad de atajarlos a tiempo. Su finalidad es satisfacer el principio de
proporcionalidad en el cumplimiento de los principios
básicos y requisitos mínimos para proteger la información.
PRINCIPIOS
MANDATO Y COMPROMISO Responsabilidad
fuerte y sostenido de la dirección y la planeación estratégica de este.
DISEÑO DEL MARCO DE TRABAJO comprensión
de la organización y su contexto, políticas de riesgo, obligación de informes,
interacción de procesos, recursos, mecanismos internos y externos de comunicación
e información.
IMPLEMENTACION DE LA GESTIÓN
DE RIESGOS implementación de marco de trabajo y procesos adecuados para la
gestión de riesgos.
SEGUIMIENTO Y REVISIÓN DEL
MARCO verificación de los procesos de la gestión de riesgos y al control de los
mismos.
MEJORA CONTINUA DEL MARCO Comprende
marcos estratégicos para la mejora continua de la gestión de riesgos mediante
la planificación, el hacer, verificar y actuar
ANÁLISIS Y GESTIÓN DE RIESGOS
La metodología MAGERIT realiza diferentes actividades enfocadas a los activos
informáticos, que posee la entidad para el tratamiento de la información. Si
dicha información es valiosa y muy relevante Esta metodología permitirá saber
el valor que representa y posteriormente aplicar las medidas necesarias para
protegerlo, se debe conocer el riesgo al que están sometidos los elementos de
trabajo para lo cual es imprescindible para poder gestionarlos.
DESAROLLO:
A continuación se presentan las caracteristicas más importantes que deben tenerse en cuenta para MAGERT:
DESAROLLO:
A continuación se presentan las caracteristicas más importantes que deben tenerse en cuenta para MAGERT:
AMENAZAS aquellos
incidentes que pueden generar daño en la organización produciendo pérdidas
materiales o inmateriales
RIESGOS El
riesgo se reconoce como una posibilidad de que exista un impacto negativo en un
Activo o Dominio.
VULNERABILIDADES la relación entre un activo y una amenaza. Se expresa con valores
decimales extremos (0 y 1), donde 0= la
amenaza no alcanza al activo y 1= no alcanzable, agresión permanente.
SALVAGUARDIAS O CONTROLES acción que reduce un riesgo mientras que el mecanismo
salvaguarda es el dispositivo capaz de reducir el riesgo.
MECANISMOS DE SALVAGUARDA
Se identifican desde su coste
técnico u organizativo. Actúan de dos formas: *Neutralización: Bloqueo o neutralización
de la amenaza antes de que se convierta en agresión. * Mejora el perfeccionamiento
del estado de seguridad del activo agredido por medio de la reducción del
impacto
VALORACIÓN DE ACTIVOS
Entre sus elementos se
encuentran los siguientes: Disponibilidad, integridad de datos,
confidencialidad de datos, autenticidad de usuarios de servicio, autenticidad
de origen de los datos y trazabilidad del servicio y datos.
VENTAJAS Y DESVENTAJAS
Una de las ventajas es que
las decisiones que deban tomarse y que tengan que ser validadas por la
dirección estarán fundamentadas y serán fácilmente defendibles. La principal
desventaja El hecho de tener que traducir de forma directa todas las
valoraciones en valores económicos hace que la aplicación de esta metodología
sea realmente costosa.
VERSIONES
VERSIÓN 1.0 (1997) análisis de
riesgos se ha consolidado como paso fundamental para la gestión de la seguridad
informática
VERSIÓN 2.0 Introdujo nuevas
alternativas para medir los activos, intenta diferenciar de manera más
contundente lo que es esencial y permanente, de lo que es coyuntural
VERSIÓN 3.0 (2012) organizado en tres libros, enfatiza en el
desarrollo de nuevas aplicaciones.
BIBLIOGRAFIA
- Carvajal, A. (s.f.). Análisis y gestión de riesgos, base fundamental del SGSI Caso: Metodologia MAGERIT. Obtenido de http://52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/17- ElAnalisisRiesgosBaseSistemaGestionSeguridadInformacionCasoMagerit.pdf.
- Diaz, M. (2009). audea. Obtenido de http://www.audea.com/analisis-de-riesgos-iso-27005-vs-magerit-yotras-metodologías
- España, G. d. (2015). MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Obtenido de http://administracionelectronica.gob.es/pae_Home.html#.VgwU7fl_Oko
No hay comentarios.:
Publicar un comentario