5/11/05

MAGERIT 2.0

Ya comente en septiembre en mi Blog Seguridad de la Información que por fín había aparecido la versión 2.0 de MAGERIT, la Metodología para en análisis y la gestión del riesgo de los sistemas de información.

MAGERIT fue mi bautismo en esta materia de la seguridad, al ser el primer trabajo/proyecto profesional que tuve que realizar. En aquel momento, allá por el año 1999, tuve el gusto de probar aquella nueva metodología en un entorno real y complejo como parte de un proyecto piloto del departamento de Ingeniería del Software de la Universidad de Murcia.

Dado que en la fase de construcción del SGSI aparece el Análisis de Riesgo como primera actividad importante, y dado que los objetivos de gestión van a tratar de reducir el riesgo hacia niveles aceptables, esta fase del SGSI es realmente la más crítica e importante.

Para no enrollarme mucho, voy a destacar las principales novedades de MAGERIT 2.0 dado que ya he podido experimentar con ella en un pequeño proyecto de Análisis de Riesgos para una instalación hotelera.

Principales novedades y mejoras:
- La metodología mejorada: deja de ser algo teóricamente interesante para bajar a la arena y ser algo práctico, rápido y útil. Un análisis y gestión de riesgos (en adelante ARG) debe ser relativamente rápido de hacer principalmente porque si no puede "nacer muerto". No podemos realizar un estudio de esta envergadura en donde se identifiquen activos que al finalizar el proyecto han dejado de existir. El sentido del AGR es hacer una foto del estado y requisitos de seguridad de la organización. Los activos sustanciales es raro que cambien debido a que están muy ligados al proceso de negocio. Sin embargo, los activos relacionados con las Tecnologías de la Información si pueden cambiar más frecuentemente. La nueva metodología solo tiene tres fases: planificación, análisis y gestión.

-Los conceptos de seguridad están más claros: Se han identificado y catalogado todos los activos posibles. El concepto de "propiedades del estado de la seguridad" se ha cambiado por el de "dimensiones de la seguridad". A estas dimensiones, que tradicionalmente siempre se han considerado como confidencialidad, integridad y disponibilidad (C-I-D), se añaden la autenticación de usuarios, autenticación de datos,la trazabilidad de usuarios y la trazabilidad de datos. Estas dos últimas propiedades van a ser muy necesarias en la futura Administración Electrónica dado que garantizan el saber quien, cuando, como y qué se ha hecho en un proceso telemático.


-Mejorado el modelo de elementos: otro de los problemas de MAGERIT 1.0 viene en el momento de la estimación de valores. La valoración de las amenazas y las vulnerabilidades puede llevar a confusión si no se aclaran al entrevistado bien estos conceptos. Ahora en este nuevo modelo, tenemos que valorar la probabilidad de ocurrencia de una amenaza y el daño o degradación que causa. Es más sencillo de ver y estimar.

-Nueva herramienta software de apoyo: dispone de una Herramienta software que proporciona mejores resultados. Para las Administraciones Públicas es gratuita y para los consultores y empresas es de pago. Para solicitarla, si se es Admin. Pública ir al Web del Centro Criptológico Nacional. Para empresas, hay que ir al Web AR-Tools.com

-Mejores documentos finales: Tras acabar cada una de las fases se obtienen documentos con la información necesaria para tomar decisiones en materia de seguridad. Se obtienen como resultados los siguientes documentos: Inventario de activos, modelo de valor (activos y valor respecto al proceso de negocio estudiado), modelo de riesgo (riesgos detectados) y plan de seguridad.

Ahora es necesario que a esta fase de la gestión de la seguridad se le asigne la importancia que tiene y que la seguridad empiece a enfocarse desde el punto de vista de la gestión y la mejora continua. Ahora tenemos formalmente este marco definido gracias a la norma ISO 27001.

Quiero también destacar la gran labor que ha realizado el profesor J.A. Mañas en el desarrollo de esta metodología y su excelente visión en materia de seguridad que va abriendo y luchando por establecer esta nueva disciplina que es la gestión de la seguridad de la información. Destacar por parte del Ministerio de Administraciones Publicas a Miguel Angel Amutio, que también está intentando que la seguridad sea bien implantada en las Administraciones Públicas.


Enlaces de interes:
- Ficha de MAGERIT 2.0 en el MAP
- Web AR-Tools
- Ficha de MAGERIT en el Centro Criptológico Nacional.

3 comentarios:

Juanjo dijo...

Estimado, veo que tienes muchos conocimientos en el area de seguridades y conoces a fondo los conceptos, quisiera saber si es posible obtener ayuda de tu parte ya que estoy haciendo mi tesis referente a Seguridad Informatica utilizando Magerit, no tengo mucho conocimientos y he estado buscando informacion referente a la metodolgia, se me ha hecho un poco complicado, podria recibir ayuda de tu lado???

Javier Cao Avellaneda dijo...

Estimado Juanjo.

El post al que haces el comentario es del año 2005. Magerit es una metodología que ya no utilizo y cuyo soporte corresponde a sus autores. En la Web http://www.ar-tools.com/ podrás encontrar ayuda y en https://www.ccn.cni.es/index.php?option=com_content&view=article&id=7&Itemid=10&lang=es también.

Dado que hay gente que es creadora del método, son ellos los más adecuados para asesorarte.

Nico dijo...

Juanjo..
En realidad no se hace cuanto tiempo has colocado este comentario pero, me gustaria tener contacto contigo y saber sobre tu experiencia utilizando Magerit, en este momento esty realizando mi tesis, y anque no esta basada completamente en la utilizacion de esa metodologia necesito cierta informacion. agradezco tu respuesta y si es posible enviarme tu email. Gracias