MAGERIT es la Metodología de Análisis y GEstión de Riesgos de IT de la Agencia Estatal de Administración Digital con la colaboración del Centro Criptológico Nacional (CCN) en España.
Es una metodología de carácter público que puede ser utilizada libremente, y conforme la norma ISO 31000, MAGERIT responde a lo que se denomina “Proceso de Gestión de los Riesgos”. Se puede descargar en tres idiomas (español, inglés e Italiano) y figura en el inventario de métodos de análisis y gestión de riesgos de ENISA (Agencia de la Unión Europea para la Ciberseguridad):
https://www.enisa.europa.eu/publications/compendium-of-risk-management-frameworks
En este artículo vamos a ver algunos conceptos de forma resumida que ayudarán a entender de forma sencilla como gestionar los Riesgos conforme esta metodología.
Hay que considerar los siguientes conceptos:
Activos, son los elementos del sistema de información que queremos proteger. Los activos están relacionados, ya que unos dependen de otros. Un proceso muy importante es detectar aquellos que sean críticos para la organización con sus dependencias. Pueden ser la imagen de la organización (consecuencias en el valor bursatil, consecuencias políticas, clientes etc.), los datos, los servicios ofrecidos, hardware, elementos de comunicación, software etc.
Una estructura típica por capas podría ser:
De forma similar, podríamos adoptar un modelo TOGAF (The Open Group Architecture Framework) de Arquitectura Empresarial que encajaría muy bien para la organización de activos.
Amenazas, las cosas que les pueden pasar a los activos causando un perjuicio a la Organización. Las amenazas sobre activos inferiores, afectarán a los activos superiores. Por ejemplo, cibermenazas: inundación, fallo en el sistema eléctrico, error de software, pandemia, virus informáticos etc. Lógicamente, se gestionan aquellas amenazas que tengan una probabilidad de ocurrencia.
Salvaguardas (o contra medidas), que son medidas de protección desplegadas para que aquellas amenazas reduzcan o mitiguen las probabilidades de ocurrencia, minimicen o eliminen el impacto, o ambas. Por ejemplo, un casco reduce el impacto en un accidente de moto, unos buenos frenos reducen la probabilidad de accidente.
Las salvaguardas tienen un valor asociado y no pueden costar más que el valor del activo que protegen.
Al igual que los activos, las contramedidas pueden ser muy variadas: sistemas antincendio, grupos electrógenos, sistemas de alimentación ininterrumpida, sistemas de respaldo, antivirus, EDR, SIEM, buena gestión de actualizaciones de productos, análisis automático del código, metodologías de desarrollo etc.
Impacto: lo que podría pasar al activo sobre una o varias dimensiones de seguridad: Autenticidad, Confidencialidad, Integridad, Dispobibilidad o Trazabilidad. El impacto acumulado será el propio del activo sumando el de los activos que dependen de él. El impacto repercutido será el propio del activo.
Por ejemplo, un Ramsomware de un servidor de archivos en una organización, no solo impacta en los sistemas informáticos, afectará a la buena imagen, las funciones de la organización, la disponibilidad de los servicios, impacto económico etc. El impacto acumulado será la suma de todos ellos.
Riesgo: El riesgo en MAGERIT es la ponderación del impacto con la probabilidad de que se materialice una amenaza, es decir, la medida del daño probable. A más probabilidad o impacto, mayor riesgo.
La seguridad al 100% no existe, por lo que cobran importancia los marcos de trabajo y metodologías para el análisis y la gestión de los riesgos IT, de tal forma que se protegan los activos de una forma razonable, con un coste real y asumiendo riesgos residuales. Adicionalmente, estos marcos de trabajo serán necesarios para el cumplimiento de normativas de seguridad como la Directiva NIS2 o el Reglamento DORA. https://www.bloginnova.com https://www.bloginnova.com/english
Puzzle Bobble
Karate Blazers
Puzzle De Bloques
Magical Cat Adventure