MAGERIT: análisis y gestión de riesgos de seguridad de la información

MAGERIT es una metodología de análisis y gestión de riesgos de los sistemas de información que fue desarrollada por el Consejo Superior de Administración Electrónica (CSAE), un organismo del Ministerio de Hacienda y Administraciones Públicas del gobierno de España. 

En este artículo te contamos más sobre MAGERIT: cuáles son sus objetivos y en general, de qué se trata su método de análisis y gestión de los riesgos asociados al uso de las tecnologías de la información y las comunicaciones.

Metodología MAGERIT

Tomando como referencia la norma ISO 31000, MAGERIT responde al “Proceso de Gestión de Riesgos” dentro del “Marco de Gestión de Riesgos”. Es decir, esta metodología implementa la gestión de riesgos dentro de un marco de trabajo que permite a los órganos de gobierno tomar decisiones considerando los riesgos derivados del uso de tecnologías de la información. 

Esta metodología persigue dos tipos de objetivos: directos e indirectos. Los objetivos directos son:

• Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos.
• Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC) 
• Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control.

Y como objetivo indirecto:

• Preparar a la organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.

Por otro lado, es importante saber que MAGERIT está dividida en tres libros:

1. Método. Entre otras cosas, aquí detalla: el método propuesto para el análisis de riesgos, el proceso de gestión de riesgos, los proyectos de análisis de riesgos, el plan de seguridad y el desarrollo de sistemas de información. 
   
   
2. Catálogo de Elementos. Este catálogo presenta unas pautas con relación a: tipos de activos, dimensiones de valoración de los activos (disponibilidad, integridad, confidencialidad, autenticidad, trazabilidad), criterios de valoración de los activos, amenazas típicas sobre los sistemas de información y salvaguardas para proteger los sistemas de información. 
   
   
3. Guía de Técnicas. Incluye diferentes técnicas utilizadas para llevar a cabo proyectos de análisis y gestión de riesgos, por ejemplo técnicas específicas como análisis mediante tablas, análisis algorítmico, árboles de ataque; o técnicas generales como sesiones de trabajo (entrevistas, reuniones, presentaciones) o valoración Delphi. 

A continuación nos centraremos en el libro 1 sobre el método para el análisis de los riesgos y cómo Pirani puede ayudar a tu organización a aplicarlo.

Análisis de riesgos con MAGERIT

Analizar los riesgos sirve para establecer qué tiene la organización, es decir, con qué activos cuenta, y estimar qué podría pasar. En este análisis se deben considerar los siguientes elementos:

1. Activos: son los elementos de los sistemas de información de la organización.
2. Amenazas: todo aquello que le puede ocurrir a los activos y causar algún perjuicio a la organización.
3. Salvaguardas: son las medidas de protección a implementar para que las amenazas identificadas no causen mucho daño. 

A partir de estos elementos es posible estimar tanto el impacto (lo que podría ocurrir) como el riesgo (lo que probablemente ocurra). 

Con la metodología MAGERIT el análisis de riesgos consta de los siguientes pasos:

1. Determinar los activos relevantes para la organización, su interrelación y su valor (qué coste tendría su degradación)

Los activos incluyen: información, datos, servicios, aplicaciones, equipos, comunicaciones, recursos humanos, recursos físicos y recursos administrativos. 

En este primer paso es importante conocer qué tipos de activos se tiene, pues según esto las amenazas y medidas de protección serán diferentes. Igualmente, hay que conocer el valor que tienen cada uno de estos para la organización, es decir, qué tan necesario es protegerlo: cuánto más valioso sea un activo, requerirá mayor nivel de protección. 

Para valorar los activos principalmente se deben considerar dimensiones como: confidencialidad, integridad y disponibilidad. Sin embargo, en algunos activos también es útil valorar otras dimensiones como: autenticidad, trazabilidad del uso del servicio y trazabilidad del acceso a los datos. 

A través del sistema de gestión de seguridad de la información ISMS de Pirani en tu organización podrán tener todos sus activos de información, especificando que tipo de activo es (hardware, software, servicios, redes, personas) y valorando su confidencialidad, integridad y disponibilidad.

2. Determinar a qué amenazas están expuestos cada uno de los activos

Una amenaza es todo aquello que puede ocurrir y causar daños a los sistemas de información de la organización. 

Hay diferentes fuentes de amenazas, por ejemplo: de origen natural como terremotos o inundaciones; de origen industrial como los fallos eléctricos; defectos de las aplicaciones o vulnerabilidades técnicas; amenazas causadas por las personas de forma accidental o de forma deliberada. 

Las amenazas, al igual que los activos, deben ser valoradas. En este caso hay que valorar dos aspectos: su degradación (qué tan perjudicado se vería el activo) y su probabilidad de ocurrencia (frecuencia).

El sistema de gestión ISMS de Pirani, a través de la sección Riesgos, permite identificar y valorar las diferentes amenazas a las que pueden estar expuestos los activos de una organización. En la valoración se puede calificar tanto la frecuencia como el impacto.

3. Determinar las medidas de protección dispuestas y qué tan eficaces son frente a los riesgos

Aquí se deben seleccionar las salvaguardas o contramedidas que ayuden a reducir los riesgos. Para elegir estas medidas es importante considerar:

• Tipos de activos a proteger.
• Dimensión o dimensiones de seguridad que requieren protección.
• Amenazas de las que se deben proteger.
• Medidas alternativas. 

Las medidas utilizadas deben servir para reducir la probabilidad de las amenazas, es decir, prevenir que las amenazas se materialicen, o para disminuir el daño causado si se llega a materializar la amenaza. 

En general, las medidas de protección implementadas pueden ser de: prevención, disuasión, minimización del impacto, corrección, recuperación, detección, concientización, entre otras. 

Con ISMS de Pirani en tu organización podrán crear las medidas o controles que les permitan prevenir las amenazas o mitigar los daños causados por estas. Cada uno de estos controles pueden ser calificados tanto en su diseño como en su ejecución. 

4. Estimar el impacto, es decir, el daño sobre un activo a raíz de la materialización de una amenaza

Una vez aplicadas las salvaguardas, medidas o controles, los sistemas quedan con un posible impacto, esto es lo que se denomina como residual, es decir, se ha reducido el impacto desde un valor potencial a un valor residual.

5. Estimar el riesgo, que es el impacto ponderado con la tasa de ocurrencia de la amenaza

Similar al paso anterior, después de aplicar las salvaguardas o controles, el sistema queda en una situación de riesgo denominada residual: se ha modificado el riesgo, desde un valor potencial a un valor residual. 

El cálculo del riesgo residual es sencillo: se repiten los cálculos de riesgo usando el impacto residual y la probabilidad residual de ocurrencia.

¿Quieres conocer más de cómo en Pirani podemos acompañarte en la implementación de la metodología MAGERIT para el análisis y gestión de riesgos de los sistemas de información de tu organización?

Crea tu cuenta en Pirani gratis cómo ISMS es la herramienta que necesitas para gestionar este tipo de riesgos de una manera más simple y eficiente. O también, puedes agendar una reunión con uno de nuestros expertos.