Sistemas de gestión de riesgos

MAGERIT es una metodología de análisis y gestión de riesgos de los sistemas de información.

Fue desarrollada por el Consejo Superior de Administración Electrónica (CSAE), el cual es un organismo del Ministerio de Hacienda Y Administraciones Publicas del Gobierno de España.

https://www.piranirisk.com/es/blog/metodologia-magerit-gestion-riesgos-sistemas-de-informacion

Su primera versión fue publicada en 1997.

Segunda versión en el año 2005.

Tercera versión, la cual sigue vigente hasta la fecha.

https://infosaudit.blogspot.com/2014/03/magerit.html

El principal alcance que busca MAGERIT se basa principalmente en enfocar a los responsables de las organizaciones sobre la existencia de riesgos y la manera de cómo gestionarlos mediante métodos que evalúen y analicen dichos riesgos derivados del uso de las tecnologías de la información. Así como también planificar el tratamiento oportuno para minimizar riesgos.

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html

NIST SP 800-300.

El NIST es el Instituto Nacional de Estándares y Tecnología, el cual es una dependencia de la Administración de Tecnología del Departamento del Comercio de los Estados Unidos.

NIST SP 800-30 Es una guía de Gestión de Riesgos de los Sistemas de Tecnología de la Información,  esta guía fue creada para evaluar los riesgos de seguridad de la información, en especial en tecnologías de la información.

La guia se dividen;.

• Capítulo I – Introducción.
• Capítulo II – Fundamentos.
• Capítulo III – El proceso.
• 12 anexos.

https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf

https://www.pmg-ssi.com/2021/08/metodologia-nist-sp-800-30-para-el-analisis-de-riesgos-en-sgsi/

El alcance general que tiene NIST 800-30 es proporcionar a los altos directivos la información necesaria para determinar procesos de acción en respuesta a riesgos identificados, además de proporcionar orientación para que se lleve a cabo cada uno de los pasos adherentes a la evaluación de riesgos.

https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf

MAGERIT se ha estructurado en dos libros y una guía técnica.

• Libro I – Método.
• Libro II – Catálogo de elementos.
• Guía de técnicas – Guía de técnicas de diferentes tipos que pueden ser de utilidad para la aplicación del método.

Se basa principalmente en dos grandes procesos.

• Análisis de riesgos.
• Tratamiento de los riesgos.

Análisis de riegos incluye los siguientes elementos.

• Activos.
• Amenazas.
• Salvaguardas

Tratamiento de riesgos está estructurada en base a las normas ISO, incluye los siguientes elementos.

• Determinación del contexto.
• Identificación de los riesgos.
• Análisis de riesgos.
• Evaluación de los riesgos.
• Tratamiento de los riesgos.
• Comunicación y consulta.
• Seguimiento y revisión.

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html

La metodología NIST 800:30 está compuesta por 9 fases:

• Caracterización del sistema.
• Identificación de amenazas.
• Identificación de vulnerabilidades.
• Análisis de controles.
• Determinación de probabilidades.
• Análisis de impacto.
• Determinación del riesgo.
• Recomendación de controles.
• Documentación de resultados.

https://revista.jdc.edu.co/index.php/rciyt/article/view/121/113