El riesgo es la posibilidad de que se produzca un impacto en un Activo o en el Dominio.
Para MAGERIT el cálculo del riesgo ofrece un Indicador que permite tomar decisiones por comparación explícita con un Umbral de Riesgo determinado; o sea una propiedad de la relación Vulnerabilidad /Impacto y por tanto de la relación entre Activos y Amenazas.
AMENAZAS
Conocimiento de las Amenazas
Las amenazas se definen como los eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.
[N] Desastres naturales: Sucesos que pueden ocurrir sin intervención de los seres humanos como causa directa o indirecta.
[I] De origen industrial: Sucesos que pueden ocurrir de forma accidental, derivados de la actividad humana de tipo industrial. Estas amenazas pueden darse de forma accidental o deliberada.
[E] Errores y fallos no intencionados: Fallos no intencionales causados por las personas.
[A] Ataques intencionados: Fallos deliberados causados por las personas.
Errores y amenazas constituyen frecuentemente las dos caras de la misma moneda: algo que le puede pasar a los activos sin animosidad o deliberadamente. Se pueden dar hasta tres combinaciones:
• Amenazas que sólo pueden ser errores, nunca ataques deliberados
• Amenazas que nunca son errores: siempre son ataques deliberados
• Amenazas que pueden producirse tanto por error como deliberadamente
domingo, 5 de julio de 2015
ACTIVOS
Identificación de los Activos protegibles del Dominio
MAGERIT tiene en cuenta cinco grandes categorías de Activos:
1. El entorno o soporte del Sistema de Información, que comprende activos tangibles (como edificaciones, mobiliario, lugares de trabajo), equipamiento de suministro auxiliar (energía, climatización, comunicaciones) y personal
2. El sistema de información propiamente dicho del Dominio (hardware, redes, software, aplicaciones)
3. La propia información requerida, soportada o producida por el Sistema de Información que incluye los datos informatizados, así como su estructuración (formatos, códigos, claves de cifrado) y sus soportes (tratables informáticamente o no)
4. Las funcionalidades del Dominio que justifican al Sistema de Información, incluido desde el personal usuario a los objetivos propuestos por la dirección del Dominio.
5. Otros Activos, de naturaleza muy variada, por ejemplo la imagen de la organización, la confianza que inspire, el fondo de comercio, la intimidad de las personas, etc.
Ejemplo: Un fallo en la red de conexión de datos (Activo de tipo Entorno) provoca la imposibilidad de alimentar el Sistema de Información (por ejemplo de una sucursal bancaria) que no obtiene así la Información de las cuentas de sus clientes, con lo que no puede ejercer las funcionalidades de la organización (atender a los clientes) y pierde imagen ante éstos, como ejemplo de esos otros activos.
MAGERIT tiene en cuenta cinco grandes categorías de Activos:
1. El entorno o soporte del Sistema de Información, que comprende activos tangibles (como edificaciones, mobiliario, lugares de trabajo), equipamiento de suministro auxiliar (energía, climatización, comunicaciones) y personal
2. El sistema de información propiamente dicho del Dominio (hardware, redes, software, aplicaciones)
3. La propia información requerida, soportada o producida por el Sistema de Información que incluye los datos informatizados, así como su estructuración (formatos, códigos, claves de cifrado) y sus soportes (tratables informáticamente o no)
4. Las funcionalidades del Dominio que justifican al Sistema de Información, incluido desde el personal usuario a los objetivos propuestos por la dirección del Dominio.
5. Otros Activos, de naturaleza muy variada, por ejemplo la imagen de la organización, la confianza que inspire, el fondo de comercio, la intimidad de las personas, etc.
Ejemplo: Un fallo en la red de conexión de datos (Activo de tipo Entorno) provoca la imposibilidad de alimentar el Sistema de Información (por ejemplo de una sucursal bancaria) que no obtiene así la Información de las cuentas de sus clientes, con lo que no puede ejercer las funcionalidades de la organización (atender a los clientes) y pierde imagen ante éstos, como ejemplo de esos otros activos.
ELEMENTOS DEL ANÁLISIS DE RIESGOS
En la realización de un Análisis y Gestión de Riesgos según MAGERIT, el Analista de Riesgos es el profesional especialista que maneja seis elementos básicos:
• Activos: Recursos del sistema de información o relacionados con este, necesarios para que funcione correctamente y alcance los objetivos propuestos por su dirección. El activo esencial es la información o dato.
• Amenazas: Determinar las amenazas que pueden afectar a cada activo, hay que estimar cuán vulnerable es el activo en dos sentidos: Degradación: Como es de perjudicial y Frecuencia: Cada cuanto se materializa la amenaza
• Vulnerabilidades:Potencialidad o posibilidad de ocurrencia de la materialización de una amenaza sobre dicho activo.
• Impactos: Es el daño sobre el activo causado por la amenaza, conociendo el valor de los activos sería muy sencillo calcular el valor del impacto
• Riesgo: Es la medida de la posibilidad que existe en que se materialice una amenaza. Conociendo el riesgo ya podemos calcular la frecuencia
• Salvaguardas (Funciones, Servicios y Mecanismos): Un salvaguarda es un mecanismo de protección frente a las amenazas, reducen la frecuencia de las amenazas y limitan el daño causado por estas.
• Activos: Recursos del sistema de información o relacionados con este, necesarios para que funcione correctamente y alcance los objetivos propuestos por su dirección. El activo esencial es la información o dato.
• Amenazas: Determinar las amenazas que pueden afectar a cada activo, hay que estimar cuán vulnerable es el activo en dos sentidos: Degradación: Como es de perjudicial y Frecuencia: Cada cuanto se materializa la amenaza
• Vulnerabilidades:Potencialidad o posibilidad de ocurrencia de la materialización de una amenaza sobre dicho activo.
• Impactos: Es el daño sobre el activo causado por la amenaza, conociendo el valor de los activos sería muy sencillo calcular el valor del impacto
• Riesgo: Es la medida de la posibilidad que existe en que se materialice una amenaza. Conociendo el riesgo ya podemos calcular la frecuencia
• Salvaguardas (Funciones, Servicios y Mecanismos): Un salvaguarda es un mecanismo de protección frente a las amenazas, reducen la frecuencia de las amenazas y limitan el daño causado por estas.
EL MÉTODO
EL MÉTODO
Realización del análisis y de la gestión
En laPlanificación del Análisis y Gestión de Riesgos se establecen las consideraciones necesarias para arrancar el proyecto, investigando la oportunidad de realizarlo, definiendo los objetivos que ha de cumplir y el dominio (ámbito) que abarcará, planificando los medios materiales y humanos para su realización e iniciando materialmente el propio lanzamiento del proyecto
Análisis de Riesgos
En el Análisis de riesgos se identifican y valoran los elementos componentes del riesgo, obteniendo una estimación de los umbrales de riesgo deseables. Es la consideración sistemática del daño probable que puede causar un fallo en la seguridad de la información, con las consecuencias potenciales de pérdida de confidencialidad, integridad y disponibilidad de la información.
Realización del análisis y de la gestión
En laPlanificación del Análisis y Gestión de Riesgos se establecen las consideraciones necesarias para arrancar el proyecto, investigando la oportunidad de realizarlo, definiendo los objetivos que ha de cumplir y el dominio (ámbito) que abarcará, planificando los medios materiales y humanos para su realización e iniciando materialmente el propio lanzamiento del proyecto
Análisis de Riesgos
En el Análisis de riesgos se identifican y valoran los elementos componentes del riesgo, obteniendo una estimación de los umbrales de riesgo deseables. Es la consideración sistemática del daño probable que puede causar un fallo en la seguridad de la información, con las consecuencias potenciales de pérdida de confidencialidad, integridad y disponibilidad de la información.
Objetivos principales de MAGERIT
Hay varias aproximaciones al problema de analizar los riesgos soportados por los sistemas TIC, como pueden ser guías informales, aproximaciones metódicas y herramientas de soporte. Todas buscan objetivar el análisis de riesgos para saber cuán seguros (o inseguros) son los sistemas y no llamarse a engaño. El gran reto de todas estas aproximaciones es la complejidad del problema al que se enfrentan; complejidad en el sentido de que hay muchos elementos que considerar y que, si no se es riguroso, las conclusiones serán de poco fiar. Es por ello que en Magerit se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista, segun esto.
Magerit persigue los siguientes objetivos:
Desventajas de Magerit: El hecho de tener que traducir de forma directa todas las valoraciones en valores económicos hace que la aplicación de esta metodología sea realmente costosa
Magerit persigue los siguientes objetivos:
- Concientizar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.
- Ofrecer un método sistemático para analizar tales riesgos.
- Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.
- Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.
Desventajas de Magerit: El hecho de tener que traducir de forma directa todas las valoraciones en valores económicos hace que la aplicación de esta metodología sea realmente costosa
¿Qué es MAGERIT?
MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
MAGERIT es la metodología de análisis y gestión de riesgos de los sistemas de información elaborada por el Consejo Superior de Administración Electrónica, como respuesta a la percepción de que en la Administración, y, en general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión.
Magerit está directamente relacionada con la generalización del uso de las tecnologías de la información, esto supone beneficios para los usuarios; y da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.
Interesa a todos aquellos que trabajan con información digital y sistemas informáticos para tratarla. Si éstos, son valiosos, Magerit permitirá saber cuánto valor está en juego y ayudará a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es imprescindible para poder gestionarlos. Con Magerit se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.
Magerit está directamente relacionada con la generalización del uso de las tecnologías de la información, esto supone beneficios para los usuarios; y da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.
Interesa a todos aquellos que trabajan con información digital y sistemas informáticos para tratarla. Si éstos, son valiosos, Magerit permitirá saber cuánto valor está en juego y ayudará a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es imprescindible para poder gestionarlos. Con Magerit se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.
Suscribirse a:
Entradas (Atom)