Informe de Metodología Magerit y seguridad en las TI.

ÍNDICE

1. INTRODUCCIÓN         2
2. RESEÑA HISTÓRICA         3
3. MARCO TEORICO         3
4. OBJETIVO         4
5. METODOLOGÍA        4

1. Organización de las guías        5

1. Método        6
2. Catálogo de Elementos        6
3. Guías Técnicas        7

1. Técnicas para Análisis y Gestión de Riesgo        7

1. Método de Análisis de Riesgo        8

1. Documentación        9
2. Documentación Inmediata        9

5.2.3     Documentación Final        9

1. Proyecto de Análisis de Riesgo        10

1. Actividades Preliminares        11
2. Estudio de Oportunidad        11
3. Determinación del Alcance del Proyecto        11
4. Planificación del Proyecto        11
5. Lanzamiento del Proyecto        11

1. Elaboración del Análisis de Riesgo        12
2. Comunicación de Resultado        12

1. Documentación Resultante        12
2. Documentación Intermedia        12

1. Plan de Seguridad        13

1. Identificación de Proyectos de Seguridad        13
2. Plan de Ejecución        13

1. Proceso de Gestión de Riesgos        14

1. Determinación del Contexto        15
2. Identificación de los Riesgos        15
3. Análisis de Riesgo        16
4. Evaluación de los Riesgos        16
5. Tratamiento de los Riesgos        16
6. Comunicación y Consulta        16
7. Seguimiento y Revisión        16

1. Herramienta P.I.L.A.R.        16

5.81 Imagen de Análisis cuantitativo y cualitativo PILAR        17

1. CONCLUSIÓN        18
2. BIBLIOGRAFÍA        18

1. INTRODUCCIÓN

     Seguridad de la información es el desafío permanente de los informáticos.   Las compañías informáticas han promovido grandes avances tecnológicos, originando una revolución en el ámbito de las comunicaciones, los negocios y las organizaciones.  La globalización ha experimentado una interacción integral de los sistemas, que ha permitido  avances significativos en el área de la computación.

     Como en todo orden de cosas los seres humanos construyen y otros se concentran en destruir,  por supuesto el área de la informática no está exenta de este problema,  múltiples  peligros  acechan la información,  bloquear estos riesgos es el gran desafío de los sistemas informáticos que se sienten  vulnerables a las constantes amenazas, por lo que se trabaja tenazmente en disminuir el daño.

     En los últimos años los recursos humanos y técnicos han desplegados sus esfuerzos para resguardar y fortalecer los métodos y procesos que protejan los sistemas y entregar a los usuarios mayor seguridad.

El uso de estas tecnologías debe ayudarnos a proteger la privacidad de los datos, la propiedad intelectual y el cumplimiento normativo permitiendo en todo momento advertir sobre el acceso a información protegida y, en caso necesario, el bloqueo de las acciones realizadas, si existe incumplimiento de las políticas de seguridad de la empresa o de los derechos digitales.

Con el desarrollo de las tecnologías de información y su relación directa con los objetivos de las organizaciones, el universo de amenazas y vulnerabilidades crece, por lo tanto es necesario proteger uno de los activos más importantes de la organización, la información, garantizando siempre la disponibilidad, confidencialidad e integridad de la misma. La forma más adecuada para proteger los activos de información, es mediante una correcta gestión de análisis de riesgo, para así identificar y focalizar esfuerzos hacia aquellos elementos que se encuentran más expuestos, sin embargo debemos tener presente que ningún sistema es infalible, ya que así como la tecnología avanza, también surgen nuevas amenazas, afortunadamente  existen medidas de seguridad que permiten evitar daños  causados por gente  maliciosa que hace mal uso de la información, motivo por el cual, han surgido numerosas leyes, estándares y normas ISO 27.001-27.002, con el fin de prevenir  ataques y mitigar riesgos.

El presente informe  reúne información  acerca del funcionamiento, implementación y utilidad que presta una  metodología de  análisis de gestión de riesgos, en este caso MAGERIT.

Magerit es el acrónimo de “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones  Públicas”, creado por el Consejo Superior de Administración Electrónica (CSAE). El uso de esta metodología es de carácter público, pertenece al Ministerio de Administraciones Públicas (MAP) de España.

Magerit está elaborado y  dirigido a los medios electrónicos, informáticos y telemáticos, ya que su uso en la actualidad es frecuente, lo cual ha dado lugar al origen de ciertos riesgos que se deben evitar con medidas preventivas para lograr la confianza necesaria.

“No es posible una aplicación racional de medidas de seguridad sin antes analizar los riesgos, para así implantar medidas proporcionadas a estos riesgos, al estado de la tecnología y a los costos”.29

“La Metodología de Análisis y Gestión de Riesgos de los sistemas de Información de las Administraciones públicas, Magerit, es un método formal para inverstigar los riesgos que soportan los Sistemas de Información, y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos” 30

_______________________________________________________________________________________________________________________________________________________

29 Paredes Fierro, Geomayra Alexandra, Vega Noboa, Mayra Alexandra, Desarrollo de una Metodología para la Auditoría de Riesgos Informáticos y su aplicación al Depto. de Informática de la Provincia de Pichincha del Consejo de la Judicatura. Tesis Escuela Superior Politénica de Chimborazo, Riobamba, 2011.

30 Definición de necesidades en términos de seguridad informática. http://www.coit.es/publicac/publbit/bit128/bitcd1/legisla/pg5m21.htm

...