SlideShare una empresa de Scribd logo

Magerit Metodologia

Descargar como PPTX, PDF
A
Andres Soto Suarez

Este documento presenta una introducción a MAGERIT, la metodología española para el análisis y gestión de riesgos de sistemas de información. Explica los objetivos de MAGERIT, directos e indirectos. Luego, introduce los conceptos clave del análisis de riesgos como activos, amenazas, salvaguardas, impacto y riesgo. Finalmente, resume los pasos del método MAGERIT para realizar un análisis de riesgos.

Ingeniería
1 de 43
MAGERIT Dairo Alexander Llanos Perdomo Andrés David Montero Fernández Jean Carlos Recio Caballero Andrés Alfredo Soto Suárez
INTRODUCCIÓN • Magerit es el acrónimo de “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Publicas”, creado por el Consejo Superior de Administración Electrónica (CSAE). El uso de esta metodología es de carácter público, pertenece al Ministerio de Administraciones Públicas (MAP) de España.
OBJETIVOS DE MAGERIT • Directos: • Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos • Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC) • Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control • Indirectos: • Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso
Introducción al análisis y gestión de riesgos El objetivo a proteger es la misión de la Organización, teniendo en cuenta las diferentes dimensiones de la seguridad:
El objetivo a proteger es la misión de la Organización, teniendo en cuenta las diferentes dimensiones de la seguridad: Disponibilidad disposición de los servicios a ser usados cuando sea necesario Integridad o mantenimiento de las características de completitud y corrección de los datos. Confidencialidad: que la información llegue solamente a las personas autorizadas. Contra la confidencialidad o secreto pueden darse fugas y filtraciones de información, así como accesos no autorizados.
A estas dimensiones canónicas de la seguridad se pueden añadir otras derivadas que nos acerquen a la percepción de los usuarios de los sistemas de información: Autenticidad: Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos. Trazabilidad: Aseguramiento de que en todo momento se podrá determinar quién hizo qué y en qué momento. Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización. Análisis de riesgos: proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización. Tratamiento de los riesgos: proceso destinado a modificar el riesgo.
El análisis y el tratamiento de los riesgos en su contexto
¿Cuándo procede analizar y gestionar los riesgos? • Un análisis de riesgos TIC es recomendable en cualquier Organización que dependa de los sistemas de información y comunicaciones para el cumplimiento de su misión. En particular en cualquier entorno donde se practique la tramitación electrónica de bienes y servicios, sea en contexto público o privado. El análisis de riesgos permite tomar decisiones de gestión y asignar recursos con perspectiva, sean tecnológicos, humanos o financieros.
Visión de conjunto
El análisis de riesgos considera los siguientes elementos: 1. Activos 2. Amenazas 3. Salvaguardas Con estos elementos se puede estimar: 1. El impacto 2. El riesgo
Método de análisis de riesgos
Método de análisis de riesgos Conceptos paso a paso El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos pasos pautados: • Determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación • Determinar a qué amenazas están expuestos aquellos activos • Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo • Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza • Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza
Paso 1: Activos Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware) comunicaciones, recursos administrativos, recursos físicos y recursos humanos.
Subordinados a dicha esencia se pueden identificar otros activos relevantes: • Datos. • Servicios. • Las aplicaciones informáticas (software). • Los equipos informáticos (hardware). • Los soportes de información. • El equipamiento auxiliar. • Las redes de comunicaciones. • Las instalaciones. • Las personas.
Dependencias • Activos esenciales: información que se maneja y servicios prestados • Servicios internos: que estructuran ordenadamente el sistema de información • El equipamiento informático: aplicaciones (software), equipos informáticos (hardware), comunicaciones y soportes de información como discos, cintas, etc. • El entorno: activos que se precisan para garantizar las siguientes capas: equipamiento y suministros como energía, climatización, entre otros y mobiliario • Los servicios subcontratados a terceros • Las instalaciones físicas • El personal: usuarios, operadores o administradores y desarrolladores.
Paso 2: Amenazas Causa potencial de un incidente que puede causar daños a un sistema de información o a una organización. [UNE 71504:2008]
Identificación de las amenazas • De origen natural: Hay accidentes naturales (terremotos, inundaciones, ...). • Del entorno (de origen industrial): Hay desastres industriales (contaminación, fallos eléctricos, ...) • Defectos de las aplicaciones: Hay problemas que nacen directamente en el equipamiento propio por defectos en su diseño o en su implementación, con consecuencias potencialmente negativas sobre el sistema. • Causadas por las personas de forma accidental: Las personas con acceso al sistema de información pueden ser causa de problemas no intencionados, típicamente por error o por omisión. • Causadas por las personas de forma deliberada: Las personas con acceso al sistema de información pueden ser causa de problemas intencionados: ataques deliberados; bien con ánimo de beneficiarse indebidamente, bien con ánimo de causar daños y perjuicios a los legítimos propietarios.
Valoración de las amenazas • Una vez determinado que una amenaza puede perjudicar a un activo, hay que valorar su influencia en el valor del activo, en dos sentidos: • degradación: cuán perjudicado resultaría el [valor del] activo • probabilidad: cuán probable o improbable es que se materialice la amenaza • La probabilidad de ocurrencia es más compleja de determinar y de expresar. A veces se modela cualitativamente por medio de alguna escala nominal:
Determinación del riesgo potencial
Paso 3: Salvaguardas Se definen las salvaguardas o contra medidas como aquellos procedimientos o mecanismos tecnológicos que reducen el riesgo. Hay amenazas que se conjuran simplemente organizándose adecuadamente, otras requieren elementos técnicos (programas o equipos), otras seguridad física y, por último, está la política de personal.
La siguiente tabla relaciona cada uno de estos tipos de protección con el modelo anterior de reducción de la degradación y de la probabilidad: Tipo de protección
Eficacia de la protección Las salvaguardas se caracterizan, además de por su existencia, por su eficacia frente al riesgo que pretenden conjurar. La salvaguarda ideal es 100% eficaz, eficacia que combina 2 factores: • desde el punto de vista técnico • desde el punto de vista de operación de la salvaguarda
Para medir los aspectos organizativos, se puede emplear una escala de madurez que recoja en forma de factor corrector la confianza que merece el proceso de gestión de la salvaguarda:
Vulnerabilidades Se denomina vulnerabilidad a toda debilidad que puede ser aprovechada por una amenaza, o más detalladamente a las debilidades de los activos o de sus medidas de protección que facilitan el éxito de una amenaza potencial.
Paso 4: impacto residual Dado un cierto conjunto de salvaguardas desplegadas y una medida de la madurez de su proceso de gestión, el sistema queda en una situación de posible impacto que se denomina residual. Se dice que hemos modificado el impacto, desde un valor potencial a un valor residual. El cálculo del impacto residual es sencillo. Como no han cambiado los activos, ni sus dependencias, sino solamente la magnitud de la degradación, se repiten los cálculos de impacto con este nuevo nivel de degradación. La magnitud de la degradación tomando en cuenta la eficacia de las salvaguardas, es la proporción que resta entre la eficacia perfecta y la eficacia real. El impacto residual puede calcularse acumulado sobre los activos inferiores, o repercutido sobre los activos superiores.
Paso 5: riesgo residual Dado un cierto conjunto de salvaguardas desplegadas y una medida de la madurez de su proceso de gestión, el sistema queda en una situación de riesgo que se denomina residual. Se dice que hemos modificado el riesgo, desde un valor potencial a un valor residual. El cálculo del riesgo residual es sencillo. Como no han cambiado los activos, ni sus dependencias, sino solamente la magnitud de la degradación y la probabilidad de las amenazas, se repiten los cálculos de riesgo usando el impacto residual y la probabilidad residual de ocurrencia. La magnitud de la degradación se toma en consideración en el cálculo del impacto residual. La magnitud de la probabilidad residual tomando en cuenta la eficacia de las salvaguardas, es la proporción que resta entre la eficacia perfecta y la eficacia real. El riesgo residual puede calcularse acumulado sobre los activos inferiores, o repercutido sobre los activos superiores.
Formalización de las actividades MAR – Método de Análisis de Riesgos
MAR.1: Caracterización de los activos Esta actividad busca identificar los activos relevantes dentro del sistema a analizar, caracterizándolos por el tipo de activo, identificando las relaciones entre los diferentes activos, determinando en qué dimensiones de seguridad son importantes y valorando esta importancia. El resultado de esta actividad es el informe denominado “modelo de valor”. Sub-tareas: • Tarea MAR.11: Identificación de los activos • Tarea MAR.12: Dependencias entre activos • Tarea MAR.13: Valoración de los activos
MAR.2: Caracterización de las amenazas Esta actividad busca identificar las amenazas relevantes sobre el sistema a analizar, caracterizándolas por las estimaciones de ocurrencia (probabilidad) y daño causado (degradación). El resultado de esta actividad es el informe denominado “mapa de riesgos”. Sub-tareas: • Tarea MAR.21: Identificación de las amenazas • Tarea MAR.22: Valoración de las amenazas
MAR.3: Caracterización de las salvaguardas Esta actividad busca identificar las salvaguardas desplegadas en el sistema a analizar, calificándolas por su eficacia frente a las amenazas que pretenden mitigar. El resultado de esta actividad se concreta en varios informes Sub-tareas: • Tarea MAR.31: Identificación de las salvaguardas pertinentes • Tarea MAR.32: Valoración de las salvaguardas
MAR.4: Estimación del estado de riesgo Esta actividad procesa todos los datos recopilados en las actividades anteriores para • realizar un informe del estado de riesgo: estimación de impacto y riesgo • realizar un informe de insuficiencias: deficiencias o debilidades en el sistema de salvaguardas Sub-tareas: • Tarea MAR.41: Estimación del impacto • Tarea MAR.42: Estimación del riesgo
Roles y funciones En el proceso de gestión de riesgos aparecen varios actores. • Órganos de gobierno • Dirección ejecutiva • Dirección operacional
Esquema Nacional de Seguridad En el Esquema Nacional de Seguridad de identifican ciertos roles que pueden verse involucrados en el proceso de gestión de riesgos: • Responsable de la información • Responsable del servicio • Responsable de la seguridad • Responsable del sistema • Administradores y operadores
Matriz RACI La matriz que se expone a continuación es orientativa y cada organismo deberá adecuarla a su organización particular. La matriz de la asignación de responsabilidades (RACI por las iniciales, en inglés, de los tipos de responsabilidad) se utiliza generalmente en la gestión de proyectos para relacionar actividades con recursos (individuos o equipos de trabajo). De esta manera se logra asegurar que cada una de las tareas esté asignada a un individuo o a un órgano colegiado.
Siendo Dirección – Alta Dirección, Órganos de Gobierno RINFO – Responsable de la Información RSERV – Responsable del Servicio RSEG – Responsable de la Seguridad RSIS – Responsable (operacional) del Sistema ASS – Administrador(es) de la Seguridad del Sistema
Herramienta P.I.L.A.R
P.I.L.A.R • PILAR es el acrónimo de “Procedimiento Informático- Lógico para el Análisis de Riesgos” es una herramienta desarrollada por el Centro Nacional de Inteligencia para soportar el Análisis de Riesgos de Sistemas de Información basado en la metodología Magerit.
En esta herramienta se puede hacer todas las actividades que se realizan en el Análisis y Gestión de Riesgos: • Determinación de Activos: Identificación, dependencias y valoración. • Determinación de Amenazas • Estimación de Impactos • Determinación de los criterios de aceptación del riesgo • Determinación de las medidas de seguridad necesarias o Salvaguardas.
Este software permite hacer un Análisis de Riesgos sobre las dimensiones de valoración como son: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. Además nos ayuda con el cálculo del impacto y el riesgo, acumulado, repercutido, potencial y residual. “Las salvaguardas se califican por fases, permitiendo la incorporación a un mismo modelo de diferentes situaciones temporales. Típicamente se puede incorporar el resultado de los diferentes proyectos de seguridad a lo largo de la ejecución del plan de seguridad, monitorizando la mejora del sistema. PILAR puede hacer análisis cuantitativo y cualitativo.
GRACIAS!!...

Recomendados

Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 
Magerit
MageritMagerit
MageritKrolina Agui
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octaveAndres Soto Suarez
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSIJosé María Apellidos
 
Gestión de riesgos
Gestión de riesgos Gestión de riesgos
Gestión de riesgos Alpha Consultoria
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticosVladimirMC
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 

Recomendados

Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 
Magerit
MageritMagerit
MageritKrolina Agui
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octaveAndres Soto Suarez
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSIJosé María Apellidos
 
Gestión de riesgos
Gestión de riesgos Gestión de riesgos
Gestión de riesgos Alpha Consultoria
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticosVladimirMC
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSIGLORIA VIVEROS
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Tratamiento de riesgo
Tratamiento de riesgoTratamiento de riesgo
Tratamiento de riesgoAlexander Velasque Rimac
 
GESTION DEL RIESGO
GESTION DEL RIESGOGESTION DEL RIESGO
GESTION DEL RIESGOLuis Enrique Castillo Leon
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo oceanicacumplimiento
 
gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfcarlosandres865046
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaCarolina Cols
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADjesus
 
Auditoría del SGSI
Auditoría del SGSIAuditoría del SGSI
Auditoría del SGSIRamiro Cid
 
Information Serurity Risk Assessment Basics
Information Serurity Risk Assessment BasicsInformation Serurity Risk Assessment Basics
Information Serurity Risk Assessment BasicsVidyalankar Institute of Technology
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad LógicaXavier
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEYairTobon
 
NIST 800-30 Intro to Conducting Risk Assessments - Part 1
NIST 800-30 Intro to Conducting Risk Assessments - Part 1NIST 800-30 Intro to Conducting Risk Assessments - Part 1
NIST 800-30 Intro to Conducting Risk Assessments - Part 1Denise Tawwab
 
Magerit productos y objetivos
Magerit productos y objetivosMagerit productos y objetivos
Magerit productos y objetivosoposicionestic
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la informaciónluisrobles17
 
The OCTAVE Method
The OCTAVE MethodThe OCTAVE Method
The OCTAVE MethodRaul Calzada
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMICHELCARLOSCUEVASSA
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONAny López
 

Más contenido relacionado

La actualidad más candente

Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo oceanicacumplimiento
 
gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfcarlosandres865046
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaCarolina Cols
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADjesus
 
Auditoría del SGSI
Auditoría del SGSIAuditoría del SGSI
Auditoría del SGSIRamiro Cid
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad LógicaXavier
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEYairTobon
 
NIST 800-30 Intro to Conducting Risk Assessments - Part 1
NIST 800-30 Intro to Conducting Risk Assessments - Part 1NIST 800-30 Intro to Conducting Risk Assessments - Part 1
NIST 800-30 Intro to Conducting Risk Assessments - Part 1Denise Tawwab
 
Magerit productos y objetivos
Magerit productos y objetivosMagerit productos y objetivos
Magerit productos y objetivosoposicionestic
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la informaciónluisrobles17
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 

La actualidad más candente (20)

Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSI
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
 
Tratamiento de riesgo
Tratamiento de riesgoTratamiento de riesgo
Tratamiento de riesgo
 
GESTION DEL RIESGO
GESTION DEL RIESGOGESTION DEL RIESGO
GESTION DEL RIESGO
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
 
Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo
 
gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdf
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informática
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
 
Auditoría del SGSI
Auditoría del SGSIAuditoría del SGSI
Auditoría del SGSI
 
Information Serurity Risk Assessment Basics
Information Serurity Risk Assessment BasicsInformation Serurity Risk Assessment Basics
Information Serurity Risk Assessment Basics
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVE
 
NIST 800-30 Intro to Conducting Risk Assessments - Part 1
NIST 800-30 Intro to Conducting Risk Assessments - Part 1NIST 800-30 Intro to Conducting Risk Assessments - Part 1
NIST 800-30 Intro to Conducting Risk Assessments - Part 1
 
Magerit productos y objetivos
Magerit productos y objetivosMagerit productos y objetivos
Magerit productos y objetivos
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la información
 
The OCTAVE Method
The OCTAVE MethodThe OCTAVE Method
The OCTAVE Method
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
 

Similar a Magerit Metodologia

METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMICHELCARLOSCUEVASSA
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONAny López
 
Segunf ud1 2
Segunf ud1 2Segunf ud1 2
Segunf ud1 2macase
 
Riesgos y glosario
Riesgos y glosarioRiesgos y glosario
Riesgos y glosariocromerovarg
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgosUPTM
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgosRosaly Mendoza
 
Análisis y Evaluación de Riesgos
Análisis y Evaluación de RiesgosAnálisis y Evaluación de Riesgos
Análisis y Evaluación de RiesgosCamilo Quintana
 
Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790albertodiego26
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetlesweid2404
 
Analisis gestion de riesgos
Analisis gestion de riesgosAnalisis gestion de riesgos
Analisis gestion de riesgosmendozanet
 
seguridad_informatica_advantage_multimedia.ppt
seguridad_informatica_advantage_multimedia.pptseguridad_informatica_advantage_multimedia.ppt
seguridad_informatica_advantage_multimedia.pptYakyakUtopico
 
Proyecto Seguridad Universidad.docx
Proyecto Seguridad Universidad.docxProyecto Seguridad Universidad.docx
Proyecto Seguridad Universidad.docxERICKBOSQUEZ
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática1 G Bachuaa
 
Administración de Riesgos Informáticos
Administración de Riesgos InformáticosAdministración de Riesgos Informáticos
Administración de Riesgos InformáticosVernicaQuinteroJimne
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgossgalvan
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaEli Castro
 
Presentacion auditoria informatica
Presentacion auditoria informaticaPresentacion auditoria informatica
Presentacion auditoria informaticajairogordon
 

Similar a Magerit Metodologia (20)

METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
 
Magerit
MageritMagerit
Magerit
 
Segunf ud1 2
Segunf ud1 2Segunf ud1 2
Segunf ud1 2
 
Riesgos y glosario
Riesgos y glosarioRiesgos y glosario
Riesgos y glosario
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgos
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgos
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgos
 
Análisis y Evaluación de Riesgos
Análisis y Evaluación de RiesgosAnálisis y Evaluación de Riesgos
Análisis y Evaluación de Riesgos
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgos
 
Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
 
Analisis gestion de riesgos
Analisis gestion de riesgosAnalisis gestion de riesgos
Analisis gestion de riesgos
 
seguridad_informatica_advantage_multimedia.ppt
seguridad_informatica_advantage_multimedia.pptseguridad_informatica_advantage_multimedia.ppt
seguridad_informatica_advantage_multimedia.ppt
 
Proyecto Seguridad Universidad.docx
Proyecto Seguridad Universidad.docxProyecto Seguridad Universidad.docx
Proyecto Seguridad Universidad.docx
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Administración de Riesgos Informáticos
Administración de Riesgos InformáticosAdministración de Riesgos Informáticos
Administración de Riesgos Informáticos
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgos
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Presentacion auditoria informatica
Presentacion auditoria informaticaPresentacion auditoria informatica
Presentacion auditoria informatica
 

Último

Determinación de espacios en la instalación
Determinación de espacios en la instalaciónDeterminación de espacios en la instalación
Determinación de espacios en la instalaciónQualityAdviceService
 
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHTAPORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHTElisaLen4
 
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONALSESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONALEdwinC23
 
metodos de fitomejoramiento en la aolicacion de plantas
metodos de fitomejoramiento en la aolicacion de plantasmetodos de fitomejoramiento en la aolicacion de plantas
metodos de fitomejoramiento en la aolicacion de plantasGraciaMatute1
 
Clasificación de Equipos e Instrumentos en Electricidad.docx
Clasificación de Equipos e Instrumentos en Electricidad.docxClasificación de Equipos e Instrumentos en Electricidad.docx
Clasificación de Equipos e Instrumentos en Electricidad.docxwilliam801689
 
Tipos de Valvulas para uso industrial y comercial
Tipos de Valvulas para uso industrial y comercialTipos de Valvulas para uso industrial y comercial
Tipos de Valvulas para uso industrial y comercialmacsal12345
 
UC Fundamentos de tuberías en equipos de refrigeración m.pdf
UC Fundamentos de tuberías en equipos de refrigeración m.pdfUC Fundamentos de tuberías en equipos de refrigeración m.pdf
UC Fundamentos de tuberías en equipos de refrigeración m.pdfrefrielectriccarlyz
 
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.ppt
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.pptTippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.ppt
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.pptNombre Apellidos
 
TAIICHI OHNO, historia, obras, reconocimientos
TAIICHI OHNO, historia, obras, reconocimientosTAIICHI OHNO, historia, obras, reconocimientos
TAIICHI OHNO, historia, obras, reconocimientoscuentaparainvestigac
 
CONEXIONES SERIE, PERALELO EN MÓDULOS FOTOVOLTAICOS.pdf
CONEXIONES SERIE, PERALELO EN MÓDULOS FOTOVOLTAICOS.pdfCONEXIONES SERIE, PERALELO EN MÓDULOS FOTOVOLTAICOS.pdf
CONEXIONES SERIE, PERALELO EN MÓDULOS FOTOVOLTAICOS.pdfwduranteg
 
Presentación de Redes de alcantarillado y agua potable
Presentación de Redes de alcantarillado y agua potablePresentación de Redes de alcantarillado y agua potable
Presentación de Redes de alcantarillado y agua potableFabricioMogroMantill
 
CI164 Materiales de Construcción 202401 - Sesión 03 Propiedades No Mecánicas.pdf
CI164 Materiales de Construcción 202401 - Sesión 03 Propiedades No Mecánicas.pdfCI164 Materiales de Construcción 202401 - Sesión 03 Propiedades No Mecánicas.pdf
CI164 Materiales de Construcción 202401 - Sesión 03 Propiedades No Mecánicas.pdfsarm0803
 
Mecatronica Automotriz .pdf
Mecatronica Automotriz .pdfMecatronica Automotriz .pdf
Mecatronica Automotriz .pdfleonardocahua1
 
Análisis de Costos y Presupuestos CAPECO
Análisis de Costos y Presupuestos CAPECOAnálisis de Costos y Presupuestos CAPECO
Análisis de Costos y Presupuestos CAPECOFernando Bravo
 
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...GuillermoRodriguez239462
 
ATS-FORMATO cara.pdf PARA TRABAJO SEGURO
ATS-FORMATO cara.pdf PARA TRABAJO SEGUROATS-FORMATO cara.pdf PARA TRABAJO SEGURO
ATS-FORMATO cara.pdf PARA TRABAJO SEGUROalejandrocrisostomo2
 
27311861-Cuencas-sedimentarias-en-Colombia.ppt
27311861-Cuencas-sedimentarias-en-Colombia.ppt27311861-Cuencas-sedimentarias-en-Colombia.ppt
27311861-Cuencas-sedimentarias-en-Colombia.pptjacnuevarisaralda22
 
Sistema de lubricación para motores de combustión interna
Sistema de lubricación para motores de combustión internaSistema de lubricación para motores de combustión interna
Sistema de lubricación para motores de combustión internamengual57
 
PRESENTACION DE LAS PLAGAS Y ENFERMEDADES DEL PALTO
PRESENTACION DE LAS PLAGAS Y ENFERMEDADES DEL PALTOPRESENTACION DE LAS PLAGAS Y ENFERMEDADES DEL PALTO
PRESENTACION DE LAS PLAGAS Y ENFERMEDADES DEL PALTOwillanpedrazaperez
 
Aportes a la Arquitectura de Le Corbusier y Mies Van der Rohe
Aportes a la Arquitectura de Le Corbusier y Mies Van der RoheAportes a la Arquitectura de Le Corbusier y Mies Van der Rohe
Aportes a la Arquitectura de Le Corbusier y Mies Van der RoheElisaLen4
 

Último (20)

Determinación de espacios en la instalación
Determinación de espacios en la instalaciónDeterminación de espacios en la instalación
Determinación de espacios en la instalación
 
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHTAPORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
 
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONALSESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
 
metodos de fitomejoramiento en la aolicacion de plantas
metodos de fitomejoramiento en la aolicacion de plantasmetodos de fitomejoramiento en la aolicacion de plantas
metodos de fitomejoramiento en la aolicacion de plantas
 
Clasificación de Equipos e Instrumentos en Electricidad.docx
Clasificación de Equipos e Instrumentos en Electricidad.docxClasificación de Equipos e Instrumentos en Electricidad.docx
Clasificación de Equipos e Instrumentos en Electricidad.docx
 
Tipos de Valvulas para uso industrial y comercial
Tipos de Valvulas para uso industrial y comercialTipos de Valvulas para uso industrial y comercial
Tipos de Valvulas para uso industrial y comercial
 
UC Fundamentos de tuberías en equipos de refrigeración m.pdf
UC Fundamentos de tuberías en equipos de refrigeración m.pdfUC Fundamentos de tuberías en equipos de refrigeración m.pdf
UC Fundamentos de tuberías en equipos de refrigeración m.pdf
 
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.ppt
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.pptTippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.ppt
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.ppt
 
TAIICHI OHNO, historia, obras, reconocimientos
TAIICHI OHNO, historia, obras, reconocimientosTAIICHI OHNO, historia, obras, reconocimientos
TAIICHI OHNO, historia, obras, reconocimientos
 
CONEXIONES SERIE, PERALELO EN MÓDULOS FOTOVOLTAICOS.pdf
CONEXIONES SERIE, PERALELO EN MÓDULOS FOTOVOLTAICOS.pdfCONEXIONES SERIE, PERALELO EN MÓDULOS FOTOVOLTAICOS.pdf
CONEXIONES SERIE, PERALELO EN MÓDULOS FOTOVOLTAICOS.pdf
 
Presentación de Redes de alcantarillado y agua potable
Presentación de Redes de alcantarillado y agua potablePresentación de Redes de alcantarillado y agua potable
Presentación de Redes de alcantarillado y agua potable
 
CI164 Materiales de Construcción 202401 - Sesión 03 Propiedades No Mecánicas.pdf
CI164 Materiales de Construcción 202401 - Sesión 03 Propiedades No Mecánicas.pdfCI164 Materiales de Construcción 202401 - Sesión 03 Propiedades No Mecánicas.pdf
CI164 Materiales de Construcción 202401 - Sesión 03 Propiedades No Mecánicas.pdf
 
Mecatronica Automotriz .pdf
Mecatronica Automotriz .pdfMecatronica Automotriz .pdf
Mecatronica Automotriz .pdf
 
Análisis de Costos y Presupuestos CAPECO
Análisis de Costos y Presupuestos CAPECOAnálisis de Costos y Presupuestos CAPECO
Análisis de Costos y Presupuestos CAPECO
 
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...
 
ATS-FORMATO cara.pdf PARA TRABAJO SEGURO
ATS-FORMATO cara.pdf PARA TRABAJO SEGUROATS-FORMATO cara.pdf PARA TRABAJO SEGURO
ATS-FORMATO cara.pdf PARA TRABAJO SEGURO
 
27311861-Cuencas-sedimentarias-en-Colombia.ppt
27311861-Cuencas-sedimentarias-en-Colombia.ppt27311861-Cuencas-sedimentarias-en-Colombia.ppt
27311861-Cuencas-sedimentarias-en-Colombia.ppt
 
Sistema de lubricación para motores de combustión interna
Sistema de lubricación para motores de combustión internaSistema de lubricación para motores de combustión interna
Sistema de lubricación para motores de combustión interna
 
PRESENTACION DE LAS PLAGAS Y ENFERMEDADES DEL PALTO
PRESENTACION DE LAS PLAGAS Y ENFERMEDADES DEL PALTOPRESENTACION DE LAS PLAGAS Y ENFERMEDADES DEL PALTO
PRESENTACION DE LAS PLAGAS Y ENFERMEDADES DEL PALTO
 
Aportes a la Arquitectura de Le Corbusier y Mies Van der Rohe
Aportes a la Arquitectura de Le Corbusier y Mies Van der RoheAportes a la Arquitectura de Le Corbusier y Mies Van der Rohe
Aportes a la Arquitectura de Le Corbusier y Mies Van der Rohe
 

Magerit Metodologia

  • 1. MAGERIT Dairo Alexander Llanos Perdomo Andrés David Montero Fernández Jean Carlos Recio Caballero Andrés Alfredo Soto Suárez
  • 2. INTRODUCCIÓN • Magerit es el acrónimo de “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Publicas”, creado por el Consejo Superior de Administración Electrónica (CSAE). El uso de esta metodología es de carácter público, pertenece al Ministerio de Administraciones Públicas (MAP) de España.
  • 3. OBJETIVOS DE MAGERIT • Directos: • Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos • Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC) • Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control • Indirectos: • Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso
  • 4. Introducción al análisis y gestión de riesgos El objetivo a proteger es la misión de la Organización, teniendo en cuenta las diferentes dimensiones de la seguridad:
  • 5. El objetivo a proteger es la misión de la Organización, teniendo en cuenta las diferentes dimensiones de la seguridad: Disponibilidad disposición de los servicios a ser usados cuando sea necesario Integridad o mantenimiento de las características de completitud y corrección de los datos. Confidencialidad: que la información llegue solamente a las personas autorizadas. Contra la confidencialidad o secreto pueden darse fugas y filtraciones de información, así como accesos no autorizados.
  • 6. A estas dimensiones canónicas de la seguridad se pueden añadir otras derivadas que nos acerquen a la percepción de los usuarios de los sistemas de información: Autenticidad: Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos. Trazabilidad: Aseguramiento de que en todo momento se podrá determinar quién hizo qué y en qué momento. Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización. Análisis de riesgos: proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización. Tratamiento de los riesgos: proceso destinado a modificar el riesgo.
  • 7. El análisis y el tratamiento de los riesgos en su contexto
  • 8. ¿Cuándo procede analizar y gestionar los riesgos? • Un análisis de riesgos TIC es recomendable en cualquier Organización que dependa de los sistemas de información y comunicaciones para el cumplimiento de su misión. En particular en cualquier entorno donde se practique la tramitación electrónica de bienes y servicios, sea en contexto público o privado. El análisis de riesgos permite tomar decisiones de gestión y asignar recursos con perspectiva, sean tecnológicos, humanos o financieros.
  • 10. El análisis de riesgos considera los siguientes elementos: 1. Activos 2. Amenazas 3. Salvaguardas Con estos elementos se puede estimar: 1. El impacto 2. El riesgo
  • 11. Método de análisis de riesgos
  • 12. Método de análisis de riesgos Conceptos paso a paso El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos pasos pautados: • Determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación • Determinar a qué amenazas están expuestos aquellos activos • Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo • Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza • Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza
  • 13. Paso 1: Activos Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware) comunicaciones, recursos administrativos, recursos físicos y recursos humanos.
  • 14. Subordinados a dicha esencia se pueden identificar otros activos relevantes: • Datos. • Servicios. • Las aplicaciones informáticas (software). • Los equipos informáticos (hardware). • Los soportes de información. • El equipamiento auxiliar. • Las redes de comunicaciones. • Las instalaciones. • Las personas.
  • 15. Dependencias • Activos esenciales: información que se maneja y servicios prestados • Servicios internos: que estructuran ordenadamente el sistema de información • El equipamiento informático: aplicaciones (software), equipos informáticos (hardware), comunicaciones y soportes de información como discos, cintas, etc. • El entorno: activos que se precisan para garantizar las siguientes capas: equipamiento y suministros como energía, climatización, entre otros y mobiliario • Los servicios subcontratados a terceros • Las instalaciones físicas • El personal: usuarios, operadores o administradores y desarrolladores.
  • 16. Paso 2: Amenazas Causa potencial de un incidente que puede causar daños a un sistema de información o a una organización. [UNE 71504:2008]
  • 17. Identificación de las amenazas • De origen natural: Hay accidentes naturales (terremotos, inundaciones, ...). • Del entorno (de origen industrial): Hay desastres industriales (contaminación, fallos eléctricos, ...) • Defectos de las aplicaciones: Hay problemas que nacen directamente en el equipamiento propio por defectos en su diseño o en su implementación, con consecuencias potencialmente negativas sobre el sistema. • Causadas por las personas de forma accidental: Las personas con acceso al sistema de información pueden ser causa de problemas no intencionados, típicamente por error o por omisión. • Causadas por las personas de forma deliberada: Las personas con acceso al sistema de información pueden ser causa de problemas intencionados: ataques deliberados; bien con ánimo de beneficiarse indebidamente, bien con ánimo de causar daños y perjuicios a los legítimos propietarios.
  • 18. Valoración de las amenazas • Una vez determinado que una amenaza puede perjudicar a un activo, hay que valorar su influencia en el valor del activo, en dos sentidos: • degradación: cuán perjudicado resultaría el [valor del] activo • probabilidad: cuán probable o improbable es que se materialice la amenaza • La probabilidad de ocurrencia es más compleja de determinar y de expresar. A veces se modela cualitativamente por medio de alguna escala nominal:
  • 19.
  • 21. Paso 3: Salvaguardas Se definen las salvaguardas o contra medidas como aquellos procedimientos o mecanismos tecnológicos que reducen el riesgo. Hay amenazas que se conjuran simplemente organizándose adecuadamente, otras requieren elementos técnicos (programas o equipos), otras seguridad física y, por último, está la política de personal.
  • 22. La siguiente tabla relaciona cada uno de estos tipos de protección con el modelo anterior de reducción de la degradación y de la probabilidad: Tipo de protección
  • 23. Eficacia de la protección Las salvaguardas se caracterizan, además de por su existencia, por su eficacia frente al riesgo que pretenden conjurar. La salvaguarda ideal es 100% eficaz, eficacia que combina 2 factores: • desde el punto de vista técnico • desde el punto de vista de operación de la salvaguarda
  • 24. Para medir los aspectos organizativos, se puede emplear una escala de madurez que recoja en forma de factor corrector la confianza que merece el proceso de gestión de la salvaguarda:
  • 25. Vulnerabilidades Se denomina vulnerabilidad a toda debilidad que puede ser aprovechada por una amenaza, o más detalladamente a las debilidades de los activos o de sus medidas de protección que facilitan el éxito de una amenaza potencial.
  • 26. Paso 4: impacto residual Dado un cierto conjunto de salvaguardas desplegadas y una medida de la madurez de su proceso de gestión, el sistema queda en una situación de posible impacto que se denomina residual. Se dice que hemos modificado el impacto, desde un valor potencial a un valor residual. El cálculo del impacto residual es sencillo. Como no han cambiado los activos, ni sus dependencias, sino solamente la magnitud de la degradación, se repiten los cálculos de impacto con este nuevo nivel de degradación. La magnitud de la degradación tomando en cuenta la eficacia de las salvaguardas, es la proporción que resta entre la eficacia perfecta y la eficacia real. El impacto residual puede calcularse acumulado sobre los activos inferiores, o repercutido sobre los activos superiores.
  • 27. Paso 5: riesgo residual Dado un cierto conjunto de salvaguardas desplegadas y una medida de la madurez de su proceso de gestión, el sistema queda en una situación de riesgo que se denomina residual. Se dice que hemos modificado el riesgo, desde un valor potencial a un valor residual. El cálculo del riesgo residual es sencillo. Como no han cambiado los activos, ni sus dependencias, sino solamente la magnitud de la degradación y la probabilidad de las amenazas, se repiten los cálculos de riesgo usando el impacto residual y la probabilidad residual de ocurrencia. La magnitud de la degradación se toma en consideración en el cálculo del impacto residual. La magnitud de la probabilidad residual tomando en cuenta la eficacia de las salvaguardas, es la proporción que resta entre la eficacia perfecta y la eficacia real. El riesgo residual puede calcularse acumulado sobre los activos inferiores, o repercutido sobre los activos superiores.
  • 28. Formalización de las actividades MAR – Método de Análisis de Riesgos
  • 29. MAR.1: Caracterización de los activos Esta actividad busca identificar los activos relevantes dentro del sistema a analizar, caracterizándolos por el tipo de activo, identificando las relaciones entre los diferentes activos, determinando en qué dimensiones de seguridad son importantes y valorando esta importancia. El resultado de esta actividad es el informe denominado “modelo de valor”. Sub-tareas: • Tarea MAR.11: Identificación de los activos • Tarea MAR.12: Dependencias entre activos • Tarea MAR.13: Valoración de los activos
  • 30. MAR.2: Caracterización de las amenazas Esta actividad busca identificar las amenazas relevantes sobre el sistema a analizar, caracterizándolas por las estimaciones de ocurrencia (probabilidad) y daño causado (degradación). El resultado de esta actividad es el informe denominado “mapa de riesgos”. Sub-tareas: • Tarea MAR.21: Identificación de las amenazas • Tarea MAR.22: Valoración de las amenazas
  • 31. MAR.3: Caracterización de las salvaguardas Esta actividad busca identificar las salvaguardas desplegadas en el sistema a analizar, calificándolas por su eficacia frente a las amenazas que pretenden mitigar. El resultado de esta actividad se concreta en varios informes Sub-tareas: • Tarea MAR.31: Identificación de las salvaguardas pertinentes • Tarea MAR.32: Valoración de las salvaguardas
  • 32. MAR.4: Estimación del estado de riesgo Esta actividad procesa todos los datos recopilados en las actividades anteriores para • realizar un informe del estado de riesgo: estimación de impacto y riesgo • realizar un informe de insuficiencias: deficiencias o debilidades en el sistema de salvaguardas Sub-tareas: • Tarea MAR.41: Estimación del impacto • Tarea MAR.42: Estimación del riesgo
  • 33. Roles y funciones En el proceso de gestión de riesgos aparecen varios actores. • Órganos de gobierno • Dirección ejecutiva • Dirección operacional
  • 34. Esquema Nacional de Seguridad En el Esquema Nacional de Seguridad de identifican ciertos roles que pueden verse involucrados en el proceso de gestión de riesgos: • Responsable de la información • Responsable del servicio • Responsable de la seguridad • Responsable del sistema • Administradores y operadores
  • 35. Matriz RACI La matriz que se expone a continuación es orientativa y cada organismo deberá adecuarla a su organización particular. La matriz de la asignación de responsabilidades (RACI por las iniciales, en inglés, de los tipos de responsabilidad) se utiliza generalmente en la gestión de proyectos para relacionar actividades con recursos (individuos o equipos de trabajo). De esta manera se logra asegurar que cada una de las tareas esté asignada a un individuo o a un órgano colegiado.
  • 36.
  • 37.
  • 38. Siendo Dirección – Alta Dirección, Órganos de Gobierno RINFO – Responsable de la Información RSERV – Responsable del Servicio RSEG – Responsable de la Seguridad RSIS – Responsable (operacional) del Sistema ASS – Administrador(es) de la Seguridad del Sistema
  • 40. P.I.L.A.R • PILAR es el acrónimo de “Procedimiento Informático- Lógico para el Análisis de Riesgos” es una herramienta desarrollada por el Centro Nacional de Inteligencia para soportar el Análisis de Riesgos de Sistemas de Información basado en la metodología Magerit.
  • 41. En esta herramienta se puede hacer todas las actividades que se realizan en el Análisis y Gestión de Riesgos: • Determinación de Activos: Identificación, dependencias y valoración. • Determinación de Amenazas • Estimación de Impactos • Determinación de los criterios de aceptación del riesgo • Determinación de las medidas de seguridad necesarias o Salvaguardas.
  • 42. Este software permite hacer un Análisis de Riesgos sobre las dimensiones de valoración como son: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. Además nos ayuda con el cálculo del impacto y el riesgo, acumulado, repercutido, potencial y residual. “Las salvaguardas se califican por fases, permitiendo la incorporación a un mismo modelo de diferentes situaciones temporales. Típicamente se puede incorporar el resultado de los diferentes proyectos de seguridad a lo largo de la ejecución del plan de seguridad, monitorizando la mejora del sistema. PILAR puede hacer análisis cuantitativo y cualitativo.