accesskey_mod_content
-

MAGERIT versión 3

  • Nombre Abreviado:
    magerit
    Resumen:
    La Metodología MAGERIT, es un método formal para investigar los riesgos que soportan los Sistemas de Información y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos.
    Destinatarios:
    Cualquier Administración Pública
    Organismos Responsables:
    Ministerio de Política Territorial y Función Pública
    Secretaría de Estado de Función Pública
    Secretaría General de Administración Digital
    Contacto:

    Miguel Ángel Amutio Gómez
    S.G. de Programas, Estudios e Impulso de la Administración Electrónica
    miguel.amutio@correo.gob.es

    Tipo de Solución:
    Regulación
    Estado de la Solución:
    Producción
    Área orgánica:
    Estatal
    Área técnica:
    Servicios horizontales para las AA.PP , Normalización y regulación
    Área funcional:
    Administración
    Licencia:
    No aplica
    Nivel Interoperabilidad:
    Legal

    Descripción

    Finalidad:

    El análisis y gestión de los riesgos es un aspecto clave del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica que tiene la finalidad de poder dar satisfacción al principio de proporcionalidad en el cumplimiento de los principios básicos y requisitos mínimos para la protección adecuada de la información.

    MAGERIT es un instrumento para facilitar la implantación y aplicación del Esquema Nacional de Seguridad proporcionando los principios básicos y requisitos mínimos para la protección adecuada de la información.

    MAGERIT figura en el inventario de métodos de análisis y gestión de riesgos de ENISA en http://rm-inv.enisa.europa.eu/methods_tools/m_magerit.html(Abre en nueva ventana)

    Objetivos:

    MAGERIT persigue los siguientes objetivos:

    Directos:

    5. concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos
    6. ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC)
    7. ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control

    Indirectos:

    8. preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso

    También se ha buscado la uniformidad de los informes que recogen los hallazgos y las conclusiones de las actividades de análisis y gestión de riesgos

    Descripción:

    MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica.

    MAGERIT permite:

    • Estudiar los riesgos que soporta un sistema de información y el entorno asociado a él. MAGERIT propone la realización de un análisis de los riesgos que implica la evaluación del impacto que una violación de la seguridad tiene en la organización; señala los riesgos existentes, identificando las amenazas que acechan al sistema de información, y determina la vulnerabilidad del sistema de prevención de dichas amenazas, obteniendo unos resultados.
    • Los resultados del análisis de riesgos permiten a la gestión de riesgos recomendar las medidas apropiadas que deberían adoptarse para conocer, prevenir, impedir, reducir o controlar los riesgos identificados y así reducir al mínimo su potencialidad o sus posibles perjuicios.

    Magerit esquema 2 Introducción

    Figura 2. Gestión de riesgos

    Organización de las guías

    MAGERIT versión 3 se ha estructurado en tres guías:

    Método:

    Se estructura de la siguiente forma:

    • El capítulo 2 presenta los conceptos informalmente. En particular se enmarcan las actividades de análisis y tratamiento dentro de un proceso integral de gestión de riesgos.
    • El capítulo 3 concreta los pasos y formaliza las actividades de análisis de los riesgos.
    • El capítulo 4 describe opciones y criterios de tratamiento de los riesgos y formaliza las actividades de gestión de riesgos.
    • El capítulo 5 se centra en los proyectos de análisis de riesgos, proyectos en los que nos veremos inmersos para realizar el primer análisis de riesgos de un sistema y eventualmente cuando hay cambios sustanciales y hay que rehacer el modelo ampliamente.
    • El capítulo 6 formaliza las actividades de los planes de seguridad, a veces denominados planes directores o planes estratégicos.
    • El capítulo 7 se centra en el desarrollo de sistemas de información y cómo el análisis de riesgos sirve para gestionar la seguridad del producto final desde su concepción inicial hasta su puesta en producción, así como a la protección del propio proceso de desarrollo.
    • El capítulo 8 se anticipa a algunos problemas que aparecen recurrentemente cuando se realizan análisis de riesgos

    Los apéndices recogen material de consulta:

    7. un glosario,
    8. referencias bibliográficas consideradas para el desarrollo de esta metodología,
    9. referencias al marco legal que encuadra las tareas de análisis y gestión en la Administración Pública Española,
    10. el marco normativo de evaluación y certificación
    11. las características que se requieren de las herramientas, presentes o futuras, para soportar el proceso de análisis y gestión de riesgos,
    12. una guía comparativa de cómo Magerit versión 1 ha evolucionado a la versión 2 y a esta versión 3.

    Catálogo de Elementos

    Marca unas pautas en cuanto a:

    • tipos de activos
    • dimensiones de valoración de los activos
    • criterios de valoración de los activos
    • amenazas típicas sobre los sistemas de información
    • salvaguardas a considerar para proteger sistemas de información

    Se persiguen dos objetivos:

    3. Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido de ofrecerles elementos estándar a los que puedan adscribirse rápidamente, centrándose en lo específico del sistema objeto del análisis.

    4. Por otra, homogeneizar los resultados de los análisis, promoviendo una terminología y unos criterios uniformes que permitan comparar e incluso integrar análisis realizados por diferentes equipos.

    Cada sección incluye una notación XML que se empleará para publicar regularmente los elementos en un formato estándar capaz de ser procesado automáticamente por herramientas de análisis y gestión.

    Si el lector usa una herramienta de análisis y gestión de riesgos, este catálogo será parte de la misma; si el análisis se realiza manualmente, este catálogo proporciona una amplia base de partida para avanzar rápidamente sin distracciones ni olvidos.

    Guía de Técnicas

    Aporta luz adicional y orientación sobre algunas técnicas que se emplean habitualmente para llevar a cabo proyectos de análisis y gestión de riesgos:

    técnicas específicas para el análisis de riesgos

    • análisis mediante tablas
    • análisis algorítmico
    • árboles de ataque

    técnicas generales

    • técnicas gráficas
    • sesiones de trabajo: entrevistas, reuniones y presentaciones
    • valoración Delphi

    Se trata de una guía de consulta. Según el lector avance por la tareas del proyecto, se le recomendará el uso de ciertas técnicas específicas, de las que esta guía busca ser una introducción, así como proporcionar referencias para que el lector profundice en las técnicas presentadas.

     

    Herramienta PILAR (CCN)(Abre en nueva ventana)

    Los organismos de la administración pública española pueden solicitar una licencia libre de cargos al Centro Criptológico Nacional; para ello, dirija su solicitud a
    Centro Criptológico Nacional ccn@cni.es.

    Ventajas:

    MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

    Noticias

    13 November 2012

    Disponible MAGERIT versión 3 Desplegar acordeon

    La versión 3 de MAGERIT, metodología de análisis y gestión de riesgos de los sistemas de información, mantiene en gran medida la estructura de la versión 2 y se ha actualizado para proporcionarle un mejor alineamiento con la normativa ISO

    Se persigue una integración de las tareas de análisis de riesgos dentro de un marco organizacional de gestión de riesgos dirigido desde los órganos de gobierno. También, a la luz de la experiencia de aplicación, se ha aligerado el texto, se han eliminado partes poco importantes o poco usadas y se ha mejorado la normalización de las actividades.

    09 March 2010

    MAGERIT Desplegar acordeon

    Se encuentra disponible en el CTT la Metodología MAGERIT, método formal para investigar los riesgos que soportan los Sistemas de Información, y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos. En el área de descargas están disponibles, en español e inglés, los tres Libros que conforma la metodología: Método, Catálogo de Elementos y Guía de Técnicas. el Libro I también se encuentra disponible en italiano

    Suscripciones

    En esta área podrá darse de alta para recibir las notificaciones de cambios que se realicen en noticias, documentos o foros relacionados con la solución.

    PAe - Gestión de Suscripciones

    Los campos con asterisco * son obligatorios. Se debe marcar al menos una de las copiones de suscripción (Noticias, Documentos o Foros) e indicar el correo en el campo de texto indicado para el alta o la baja de suscripción.

    Introduzca el email con el que desea recibir las notificaciones de la solución.

    *

    Introduzca el email para darse de baja de la suscripción.
Punto de Acceso General
Punto de Acceso General
Responsable