Metodología MAGERIT
(Metodología de Análisis y Gestión de Riesgos de IT)
Magerit
es una metodología que se esfuerza por enfatizarse en dividir los activos de la
organización en variados grupos, para identificar más riesgos y poder tomar
contramedidas para evitar así cualquier inconveniente.
La
razón de ser de MAGERIT está directamente relacionada con la generalización del
uso de las tecnologías de la información, que supone unos beneficios evidentes
para los ciudadanos; pero también da lugar a ciertos riesgos que deben
minimizarse con medidas de seguridad que generen confianza.
En
el periodo transcurrido desde la publicación de la primera versión de Magerit
(1997) hasta la fecha, el análisis de riesgos se ha venido consolidando como
paso necesario para la gestión de la seguridad.
La
Evaluación del riesgo es fundamental para llevar cabo planes de seguridad y de contingencia
dentro de la organización, para poder gestionarlos y hacerse riguroso frente a
posibles ataques a los datos y la información tanto de la organización, como de
los servicios que presta.
Objetivos de Magerit
Directos
Concienciar a los responsables de los sistemas de información de la
existencia de riesgos y de la necesidad de atajarlos a tiempo.
Ofrecer un método sistemático para analizar tales riesgos.
Ayudar a descubrir y planificar las medidas oportunas para mantener los
riesgos bajo control.
Indirectos
Preparar a la Organización para procesos de evaluación, auditoría,
certificación o acreditación, según corresponda en cada caso.
La
metodología MAGERIT es una de las mas utilizadas ya que se encuentra en
español. MAGERIT está basado en tres submodelos.
Los
submodelos son:
Submodelo de elementos: Es este submodelo se clasifican 6 elementos
básicos que son: activos, amenazas, vulnerabilidades, impacto, riesgo,
salvaguarda.
Submodelo de eventos: Aquí se clasifican los elementos anteriores en tres
formas: dinámico físico, dinámico organizativo y estático.
Submodelo de procesos: Se definen en 4 etapas: análisis de riesgo,
planificación, gestion de riesgo y selección de salvaguardas.
La
metodología consta de tres volúmenes:
Ø Volumen I – Método, es el volumen principal en el que se explica detalladamente la
metodología.
Ø Volumen II – Catálogo de elementos, complementa el volumen principal proporcionando
diversos inventarios de utilidad en la aplicación de la metodología. Los
inventarios que incluye son:
Tipos de activos o
Dimensiones y criterios de valoración o
Amenazas
Salvaguardas
Dimensiones y criterios de valoración o
Amenazas
Salvaguardas
Ø Volumen III – Guía de técnicas, complementa el volumen principal proporcionando una
introducción de algunas de técnicas a utilizar en las distintas fases del
análisis de riesgos. Las técnicas que recoge son:
Análisis mediante tablas
Análisis algorítmico
Árboles de ataque
Técnicas generales o
Análisis coste-beneficio
Diagramas de flujo de datos (DFD)
Diagramas de procesos
Técnicas gráficas
Planificación de proyectos
Sesiones de trabajo: entrevistas, reuniones y presentaciones
Valoración Delphi
Análisis algorítmico
Árboles de ataque
Técnicas generales o
Análisis coste-beneficio
Diagramas de flujo de datos (DFD)
Diagramas de procesos
Técnicas gráficas
Planificación de proyectos
Sesiones de trabajo: entrevistas, reuniones y presentaciones
Valoración Delphi
La
metodología MAGERIT se puede resumir gráficamente de la siguiente forma:
