Abordamos una nueva temporada analizando la metodología MAGERIT V3 para el desarrollo del proceso de análisis y gestión de riesgos, así como PILAR, plataforma de automatización del proceso que, con sus fans y haters, aporta un alto valor añadido y ayudas automatizadas al modelado de todos los acores y a los cálculos relacionados. Yo soy fan.
METODOLOGÍA MAGERIT V3
MAGERIT, Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) fue creada por el Consejo Superior de Administración Electrónica del Gobierno de España y, a la fecha, está vigente su versión 3.
Está incluida en el catálogo de metodologías de Análisis y Gestión de Riesgos (AGR en adelante) de ENISA (European Union Agency for Cibersecurity):
Ha sido adoptada principalmente por la Administración Pública, si bien es aplicable a todos los sectores.
En mi opinión, es una metodología muy completa que permite representar en detalle los activos de una organización y sus dependencias, lo que facilita unas valoraciones precisas de dichos activos en base a su criticidad.
La documentación de MAGERIT es completa y detallada, contenida en tres documentos (Método, Catálogo y Guía de Técnicas), ofreciendo información relevante sobre los fundamentos y bases matemáticas que sustentan la metodología.
ACTIVIDADES MAGERIT V3 (Libro I – Método)
Las actividades propuestas son las habituales en todas las metodologías AGR de referencia, si bien MAGERIT V3 distingue entre “activos esenciales” y “activos de soporte”.
- Identificación de los activos esenciales: es decir, la información que se trata y los servicios que se prestan
- Valoración de las necesidades o niveles de seguridad requeridos por cada activo esencial en cada dimensión de seguridad (confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad).
- Identificación de los demás activos del sistema, denominados activos de soporte, incluyendo personal, aplicaciones, servidores, comunicaciones / redes, servicios en la nube, CPDs, etc, que materializan los activos esenciales. Debe determinarse un nivel de granularidad de los activos que permita una gestión adecuada de sus riesgos sin generar un número de activos inmanejable.
- Establecimiento del valor (o nivel requerido de seguridad) de los demás activos en función de su relación con los activos esenciales (idealmente mediante identificación de las dependencias).
- Identificación de amenazas posibles sobre los activos (ver documento “Catálogo”).
- Estimación de las consecuencias que se derivarían de la materialización de dichas amenazas.
- Estimación de la probabilidad de que dichas amenazas se materialicen
- Estimación de los impactos y riesgos potenciales, inherentes al
- Identificación de las salvaguardas apropiadas para atajar los impactos y riesgos
- Valoración del despliegue de las salvaguardas
- Estimación de los valores de impacto y riesgo residuales = nivel de impacto y riesgo que aún soporta el sistema tras el despliegue de las salvaguardas.
- Comparación de los valores de riesgo residual con los valores aceptables por la Organización. En caso de no ser aceptables, iterar nuevamente desde el punto 9 hasta llegar a niveles aceptables. Estos niveles aceptables deben establecerse, modificarse (en su caso) y aprobarse por los estamentos directivos de la Organización.
MAGERIT V3 EN SU CONTEXTO
Dentro del concepto “análisis y gestión de riesgos” existen diferentes metodologías y aproximaciones para su materialización, principalmente OCTAVE, CRAMM, NIST SP800-30, CLUSIF MEHARI e ISO/IEC 31000:2018+ISO/IEC 27005:2022. Los fundamentos de todas ellas contienen numerosas similitudes, si bien este artículo no tiene como objetivo analizarlas ni compararlas.
Los marcos normativos y estándares para la construcción de un SGSI no están asociados a metodología AGR concretas, siendo decisión de cada entidad la elección de aquélla que consideren adecuada a su SGSI concreto. Sin embargo, es una realidad que los SGSI de la Administración Pública española, basados en el ENS, suelen seleccionar MAGERIT V3, mientras que los SGSI basados en ISO/IEC 27001:2022 suelen desarrollar su AGR sobre ISO/IEC 31000:2018+ISO/IEC 27005:2022.
Licenciado en Informática por la Universitat Politécnica de Catalunya. E.U. en Protección de Datos y Privacidad por la Facultad de Derecho de la Universidad de Murcia. CISA, CISM, CGEIT, COBIT 5 Implementer, Lead Auditor ISO 27001-TC y Auditor del Esquema Nacional de Seguridad. Carrera profesional desarrollada en Ingeniería de sistemas, DBA y, principalmente, consultoría y auditoría sobre marcos y normas asociadas a la seguridad de la información, tanto en sector público como privado. Colaborador de ISACA HQ desde 2004, autor de numerosas publicaciones, cursos y ponencias sobre estas materias, miembro del COIICV, ISACA, itSMF España, APEP e ISMS Forum.
Debe estar conectado para enviar un comentario.