España: Actualización de MAGERIT – versión 2.
Enviado por Juan Gigli el Mié, 28/06/2006 - 12:56.
Descargas
- Libro I: Método (formato PDF)
- Libro II: Catálogo de Elementos (formato PDF)
- Libro III: Guía de Técnicas (formato PDF)
Introducción
El Consejo Superior de Administración Electrónica ha elaborado Magerit y promueve su utilización como respuesta a la percepción de que la Administración (y en general toda la sociedad) depende de forma creciente de las tecnologías de la información para el cumplimiento de su misión. La razón de ser de Magerit está directamente relacionada con la generalización del uso de los medios electrónicos, informáticos y telemáticos, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.
En el periodo transcurrido desde la publicación de la primera versión de Magerit (1997) hasta la fecha, el análisis de riesgos se ha venido consolidando como paso necesario para la gestión de la seguridad. Así se recoge claramente en las "Directrices de la OCDE para la seguridad de sistemas y redes de información - Hacia una cultura de la seguridad", que en su principio 6 dice:
6) Evaluación del riesgo. Los participantes deben llevar a cabo evaluaciones de riesgo.
Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos y por ello han aparecido multitud de guías informales, aproximaciones metódicas y herramientas de soporte todas las cuales buscan objetivar el análisis para saber cuán seguros (o inseguros) están y no llamarse a engaño. El gran reto de todas estas aproximaciones es la complejidad del problema al que se enfrentan; complejidad en el sentido de que hay muchos elementos que considerar y que, si no se es riguroso, las conclusiones serán de poco fiar. Es por ello que Magerit persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.
Los usuarios de los sistemas de información, que frecuentemente no son técnicos, se preguntan si estos sistemas merecen su confianza, pero ésta se ve mermada por cada fallo. Lo ideal es que los sistemas sean fiables; pero lo cierto es que se acepta convivir con sistemas que en ocasiones no lo son. El asunto no es tanto la ausencia de incidentes como la confianza en que están bajo control: se sabe qué puede pasar y se sabe qué hacer cuando pasa. El temor a lo desconocido es el principal origen de la desconfianza y, en consecuencia, aquí se busca conocer para confiar: conocer los riesgos para poder afrontar los y controlarlos.
Magerit interesa, en definitiva, a todos aquellos que trabajan con información y los sistemas informáticos que la tratan. Si dicha información o los servicios que se prestan gracias a ella son valiosos, esta metodología les permitirá saber cuánto de este valor está en juego y les ayudará a protegerlo.
Productos y servicios complementarios
Los Criterios de seguridad, normalización y conservación de las aplicaciones utilizadas para el ejercicio de potestades recogen los requisitos, criterios, y recomendaciones relativos a la implantación de las medidas de seguridad organizativas y técnicas para asegurar la autenticidad, confidencialidad, integridad, disponibilidad y conservación de la información en el diseño, desarrollo, implantación y explotación de las aplicaciones que la Administración General del Estado utiliza para el ejercicio de sus potestades. Estos Criterios SNC son, por tanto, complemento de MAGERIT para la identificación y selección de funciones y mecanismos de salvaguarda.
La herramienta PILAR es un procedimiento informático-lógico para el análisis y la gestión de los riesgos de un sistema de información siguiendo la Metodología MAGERIT.
La herramienta PILAR es de uso exclusivo en la administración pública española. Se puede descargar de http://www.ar-tools.com/pilar.
Para su utilización es preciso disponer de una licencia de uso gratuita, la cual puede ser solicitada por el responsable de cada unidad administrativa interesada al Centro Criptológico Nacional, a la dirección de correo electrónico ccn@cni.es .Objetivos
Magerit persigue los siguientes objetivos:
- Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo
- Ofrecer un método sistemático para analizar tales riesgos
- Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control
- Apoyar la preparación a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso
Así mismo, se ha cuidado la uniformidad de los informes que recogen los hallazgos y las conclusiones de un proyecto de análisis y gestión de riesgos: modelo de valor, mapa de riesgos, evaluación de salvaguardas, estado de riesgo, informe de insuficiencias, y plan de seguridad.
Organización de las guías
Esta versión 2 de Magerit se ha estructurado en tres libros: "Método", "Catálogo de Elementos" y "Guía de Técnicas".
Método
Describe la metodología desde tres ángulos:
- El capítulo 2 describe los pasos para realizar un análisis del estado de riesgo y para gestionar su mitigación. Es una presentación netamente conceptual.
- El capítulo 3 describe las tareas básicas para realizar un proyecto de análisis y gestión de riesgos, entendiendo que no basta con tener los conceptos claros, sino que es conveniente pautar roles, actividades, hitos y documentación para que la realización del proyecto de análisis y gestión de riesgos esté bajo control en todo momento.
- El capítulo 4 aplica la metodología al caso del desarrollo de sistemas de información, en el entendimiento que los proyectos de desarrollo de sistemas deben tener en cuenta los riesgos desde el primer momento, tanto los riesgos a que están expuestos, como los riesgos que las propias aplicaciones introducen en el sistema.
Como complemento, el capítulo 5 desgrana una serie de aspectos prácticos, derivados de la experiencia acumulada en el tiempo para la realización de un análisis y una gestión realmente efectivos.
Los apéndices recogen material de consulta:
- glosario,
- referencias bibliográficas consideradas para el desarrollo de esta metodología,
- referencias al marco legal que encuadra las tareas de análisis y gestión,
- el marco normativo de evaluación y certificación
- las características que se requieren de las herramientas, presentes o futuras, para soportar el proceso de análisis y gestión de riesgos,
- una guía comparativa de cómo Magerit versión 1 ha evolucionado en esta versión 2.
- se desarrolla un caso práctico como ejemplo.
Catálogo de Elementos
Se ofrece un catálogo, abierto a ampliaciones, que marca unas pautas en cuanto a: tipos de activos, dimensiones de valoración de los activos, criterios de valoración de los activos, amenazas típicas sobre los sistemas de información y salvaguardas a considerar para proteger sistemas de información.
Se persiguen dos objetivos:
- Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido de ofrecerles elementos estándar a los que puedan adscribirse rápidamente, centrándose en lo específico del sistema objeto del análisis.
- Por otra, homogeneizar los resultados de los análisis, promoviendo una terminología y unos criterios uniformes que permitan comparar e incluso integrar análisis realizados por diferentes equipos.
Cada sección incluye una notación XML que se empleará para publicar regularmente los elementos en un formato estándar capaz de ser procesado automáticamente por herramientas de análisis y gestión.
Si el lector usa una herramienta de análisis y gestión de riesgos, este catálogo será parte de la misma; si el análisis se realiza manualmente, este catálogo proporciona una amplia base de partida para avanzar rápidamente sin distracciones ni olvidos.
Guía de Técnicas
Aporta luz adicional y guías sobre algunas técnicas que se emplean habitualmente para llevar a cabo proyectos de análisis y gestión de riesgos: técnicas específicas para el análisis de riesgos, análisis mediante tablas, análisis algorítmico, árboles de ataque, técnicas generales, análisis coste-beneficio, diagramas de flujo de datos, diagramas de procesos, técnicas gráficas, planificación de proyectos, sesiones de trabajo (entrevistas, reuniones y presentaciones) y valoración Delphi.
Se trata de una guía de consulta. Según el lector avance por la tareas del proyecto, se le recomendará el uso de ciertas técnicas específicas, de las que esta guía busca ser una introducción, así como proporcionar referencias para que el lector profundice en las técnicas presentadas.
Para los que han trabajado con Magerit v.1
Con respecto a Magerit v1.0, todos los conceptos le resultarán familiares, aunque hay cierta evolución. En particular permanece lo que se denominaba submodelo de elementos: activos, amenazas, vulnerabilidades, impactos, riesgos y salvaguardas. Esta parte conceptual ha sido refrendada por el paso del tiempo y sigue siendo el eje alrededor del cual se vertebran las fases fundamentales de análisis y gestión. Se ha revisado y ampliado lo que se denominaba "subestados de seguridad" dándole el nuevo nombre de "dimensiones" e introduciendo nuevas varas de medir lo que interesa de los activos. El submodelo de procesos aparece bajo el epígrafe de "estructuración del proyecto de análisis y gestión de riesgos".
Si bien Magerit v1.0 ha resistido bien el paso del tiempo en lo conceptual, no se puede decir lo mismo de los detalles técnicos de los sistemas de información con los que se trabaja. Se intenta una puesta al día; pero ante todo se intenta diferenciar lo que es esencial (y permanente) de lo que es coyuntural y cambiará con el tiempo. Esto se traduce en parametrizar el método de trabajo, referenciándolo a catálogos externos de amenazas y salvaguardas que se podrán actualizar, adaptándose al paso del tiempo, tanto por progreso tecnológico como por progreso de los sujetos, pues tan cierto es que los sistemas cambian como que lo hacen los sujetos a su alrededor, buenos y malos. Y, cuanto más éxito tengan los sistemas, más usuarios tendrán y simultáneamente, más sujetos habrá interesados en abusar de ellos o, simplemente, destruirlos. Así pues, quede el método, abierto de forma que estando claro qué se hace y cómo, se puedan adaptar los detalles a cada momento.
A efectos prácticos, el párrafo anterior se traduce en que se ha segregado en un libro anejo, "Catálogo de Elementos", los tipos de activos, las dimensiones y criterios de valoración, el catálogo de amenazas y el catálogo de salvaguardas, de tal forma que puedan evolucionar.
El apéndice 6 del Método es más preciso estableciendo las correspondencias entre la versión 1.0 y esta. Si usted lo desea, puede acceder a Magerit versión 1
Derechos de Utilización
MAGERIT es una metodología de carácter público, perteneciente al Ministerio de Administraciones Públicas. Su utilización no requiere autorización previa del MAP.
Responsable del Producto
Secretaría General para la Administración Pública. Dirección General de Modernización Administrativa. Subdirección General de Coordinación de Recursos Tecnológicos de la Administración General del Estado.
Formación
Por Resolución de 10 de marzo de 2005, el Instituto Nacional de Administración Pública, convoca actividades formativas sobre Tecnologías de la Información y las Comunicaciones a desarrollar durante el año 2005, dentro del "Plan Interadministrativo de Formación Continua en el Área de las Tecnologáis de la Información y las Comunicaciones - 2005". Entre estos cursos está uno dedicado a "MAGERIT".
II Curso de Auditoría de Sistemas de Información
Por Resolución de 15 de febrero de 2006 (BOE de 2 de marzo), el Instituto Nacional de Administración Pública convoca el II Curso de Auditoría de Sistemas de Información, a desarrollar dentro del "Plan Interadministrativo de Formación Continua en el Área de las Tecnologías de la Información y las Comunicaciones - 2006". Entre los módulos de dicho curso figuran:
CASI-0203 "Análisis y gestión de riesgos de los sistemas de información" (MAGERIT)
Más información
Para más información contactar con:
- Inicie sesión o regístrese para enviar comentarios
- 2398 lecturas
Artículos relacionados
- España: MAGERIT – versión 2.
- Plan Interadministrativo de Formación Continua en el Área de las Tecnologías de la Información y las Comunicaciones - 2006
- INFOBAE.com convoca talentos.
- La construcción de los servicios pan-europeos de Administración electrónica
- España: Publicado el decreto de reestructuración de la Administración Electrónica
Envíos recientes a blogs
- Exploring New Worlds of Learning with Web 2.0 and Second Life
- Paquetes y Social Media Marketing.
- Ahora si, lanzamiento oficial del Blogbook Argentina.
- Flexible Citizenship for a Global Society
- Desenvolvimento de urnas biométricas pela Justiça Eleitoral brasileira
- O que é Biometria? Identificação Biométrica na Justiça Eleitoral
- Información Legislativa y Gobierno Electrónico
- Polícia Federal apresenta o novo modelo da carteira de identidade no Brasil
- Curioso ataque contra encargada de brindar direcciones de Internet
- SOCIOLOGIA DA SALA DE AULA VIRTUAL?
Directorio del Estado en Twitter
Encuesta
Si su municipio instalara cabinas con acceso a Internet ¿para qué las usuaría la población del lugar?
Internet gratis
42%
Buscar informaci
17%
Buscar informaci
15%
Otra informaci
14%
Pagar impuestos online
12%
Total de votos: 81
- 5 comentarios
- 2866 lecturas
- Encuestas anteriores
Próximos eventos
Entrevistas exclusivas
- Entrevista a Antônio Flávio Testa (Brasil) por Nora Chaponick (Argentina)
- Entrevista al Profesor Antonio Anselmo Martino sobre Gobierno Electrónico y Democracia Digital
- Entrevista al Dr. Pablo Andres Palazzi, especialista en protección de datos.
- El Doctor Marcos Luiz Mucheroni nos habla sobre Cibercultura y gobierno electrónico
- O Doutor Marcos Luiz Mucheroni nos fala sobre Cibercultura, e-Democracia e governo electronico
Contenido popular
Siempre:
Últimas impresiones:
- Seminario de Producción de Contenidos Culturales Digitales, Premio @Lis Day 2006
- Servicio Nacional de Contrataciones
- Se presenta el blogbook “El futuro es tuyo, La revolución social de las personas”
- Colombia: MINCOMUNICACIONES AMPLIARÁ ACCESO DE LOS COLOMBIANOS A LA TECNOLOGÍA
- Instituto Nacional de Cooperación Educativa (INCE)
En línea
En este momento hay 0 usuarios y 48 invitados en línea.
Comentarios recientes
hace 1 semana 5 días
hace 2 semanas 5 días
hace 5 semanas 3 días
hace 13 semanas 6 días
hace 15 semanas 5 horas
hace 15 semanas 5 horas
hace 19 semanas 6 días
hace 19 semanas 6 días
hace 20 semanas 1 día
hace 20 semanas 2 días