Productos

Introducción

El Consejo Superior de Administración Electrónica ha elaborado Magerit y promueve su utilización como respuesta a la percepción de que la Administración (y en general toda la sociedad) depende de forma creciente de las tecnologías de la información para el cumplimiento de su misión. La razón de ser de Magerit está directamente relacionada con la generalización del uso de los medios electrónicos, informáticos y telemáticos, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.

En el periodo transcurrido desde la publicación de la primera versión de Magerit (1997) hasta la fecha, el análisis de riesgos se ha venido consolidando como paso necesario para la gestión de la seguridad. Así se recoge claramente en las "Directrices de la OCDE para la seguridad de sistemas y redes de información - Hacia una cultura de la seguridad", que en su principio 6 dice:

6) Evaluación del riesgo. Los participantes deben llevar a cabo evaluaciones de riesgo.

Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos y por ello han aparecido multitud de guías informales, aproximaciones metódicas y herramientas de soporte todas las cuales buscan objetivar el análisis para saber cuán seguros (o inseguros) están y no llamarse a engaño. El gran reto de todas estas aproximaciones es la complejidad del problema al que se enfrentan; complejidad en el sentido de que hay muchos elementos que considerar y que, si no se es riguroso, las conclusiones serán de poco fiar. Es por ello que Magerit persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

Los usuarios de los sistemas de información, que frecuentemente no son técnicos, se preguntan si estos sistemas merecen su confianza, pero ésta se ve mermada por cada fallo. Lo ideal es que los sistemas sean fiables; pero lo cierto es que se acepta convivir con sistemas que en ocasiones no lo son. El asunto no es tanto la ausencia de incidentes como la confianza en que están bajo control: se sabe qué puede pasar y se sabe qué hacer cuando pasa. El temor a lo desconocido es el principal origen de la desconfianza y, en consecuencia, aquí se busca conocer para confiar: conocer los riesgos para poder afrontar los y controlarlos.

Magerit interesa, en definitiva, a todos aquellos que trabajan con información y los sistemas informáticos que la tratan. Si dicha información o los servicios que se prestan gracias a ella son valiosos, esta metodología les permitirá saber cuánto de este valor está en juego y les ayudará a protegerlo.

Productos y servicios complementarios

Los Criterios de seguridad, normalización y conservación de las aplicaciones utilizadas para el ejercicio de potestades recogen los requisitos, criterios, y recomendaciones relativos a la implantación de las medidas de seguridad organizativas y técnicas para asegurar la autenticidad, confidencialidad, integridad, disponibilidad y conservación de la información en el diseño, desarrollo, implantación y explotación de las aplicaciones que la Administración General del Estado utiliza para el ejercicio de sus potestades. Estos Criterios SNC son, por tanto, complemento de MAGERIT para la identificación y selección de funciones y mecanismos de salvaguarda.

La herramienta PILAR es un procedimiento informático-lógico para el análisis y la gestión de los riesgos de un sistema de información siguiendo la Metodología MAGERIT.

La herramienta PILAR es de uso exclusivo en la administración pública española. Se puede descargar de http://www.ar-tools.com/pilar.

Para su utilización es preciso disponer de una licencia de uso gratuita, la cual puede ser solicitada por el responsable de cada unidad administrativa interesada al Centro Criptológico Nacional, a la dirección de correo electrónico ccn@cni.es .

Objetivos

Magerit persigue los siguientes objetivos:

1. Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo
2. Ofrecer un método sistemático para analizar tales riesgos
3. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control
4. Apoyar la preparación a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso

Así mismo, se ha cuidado la uniformidad de los informes que recogen los hallazgos y las conclusiones de un proyecto de análisis y gestión de riesgos: modelo de valor, mapa de riesgos, evaluación de salvaguardas, estado de riesgo, informe de insuficiencias, y plan de seguridad.

Organización de las guías

Esta versión 2 de Magerit se ha estructurado en tres libros: "Método", "Catálogo de Elementos" y "Guía de Técnicas".

Método

Describe la metodología desde tres ángulos:

• El capítulo 2 describe los pasos para realizar un análisis del estado de riesgo y para gestionar su mitigación. Es una presentación netamente conceptual.
• El capítulo 3 describe las tareas básicas para realizar un proyecto de análisis y gestión de riesgos, entendiendo que no basta con tener los conceptos claros, sino que es conveniente pautar roles, actividades, hitos y documentación para que la realización del proyecto de análisis y gestión de riesgos esté bajo control en todo momento.
• El capítulo 4 aplica la metodología al caso del desarrollo de sistemas de información, en el entendimiento que los proyectos de desarrollo de sistemas deben tener en cuenta los riesgos desde el primer momento, tanto los riesgos a que están expuestos, como los riesgos que las propias aplicaciones introducen en el sistema.

Como complemento, el capítulo 5 desgrana una serie de aspectos prácticos, derivados de la experiencia acumulada en el tiempo para la realización de un análisis y una gestión realmente efectivos.

Los apéndices recogen material de consulta:

• glosario,
• referencias bibliográficas consideradas para el desarrollo de esta metodología,
• referencias al marco legal que encuadra las tareas de análisis y gestión,
• el marco normativo de evaluación y certificación
• las características que se requieren de las herramientas, presentes o futuras, para soportar el proceso de análisis y gestión de riesgos,
• una guía comparativa de cómo Magerit versión 1 ha evolucionado en esta versión 2.
• se desarrolla un caso práctico como ejemplo.

Catálogo de Elementos

Se ofrece un catálogo, abierto a ampliaciones, que marca unas pautas en cuanto a: tipos de activos, dimensiones de valoración de los activos, criterios de valoración de los activos, amenazas típicas sobre los sistemas de información y salvaguardas a considerar para proteger sistemas de información.

Se persiguen dos objetivos:

1. Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido de ofrecerles elementos estándar a los que puedan adscribirse rápidamente, centrándose en lo específico del sistema objeto del análisis.
2. Por otra, homogeneizar los resultados de los análisis, promoviendo una terminología y unos criterios uniformes que permitan comparar e incluso integrar análisis realizados por diferentes equipos.

Cada sección incluye una notación XML que se empleará para publicar regularmente los elementos en un formato estándar capaz de ser procesado automáticamente por herramientas de análisis y gestión.

Si el lector usa una herramienta de análisis y gestión de riesgos, este catálogo será parte de la misma; si el análisis se realiza manualmente, este catálogo proporciona una amplia base de partida para avanzar rápidamente sin distracciones ni olvidos.

Guía de Técnicas

Aporta luz adicional y guías sobre algunas técnicas que se emplean habitualmente para llevar a cabo proyectos de análisis y gestión de riesgos: técnicas específicas para el análisis de riesgos, análisis mediante tablas, análisis algorítmico, árboles de ataque, técnicas generales, análisis coste-beneficio, diagramas de flujo de datos, diagramas de procesos, técnicas gráficas, planificación de proyectos, sesiones de trabajo (entrevistas, reuniones y presentaciones) y valoración Delphi.

Se trata de una guía de consulta. Según el lector avance por la tareas del proyecto, se le recomendará el uso de ciertas técnicas específicas, de las que esta guía busca ser una introducción, así como proporcionar referencias para que el lector profundice en las técnicas presentadas.

Experiencias de aplicación de Magerit versión 2

Ejemplo de aplicación de Magerit versión 2 junto con la herramienta Pilar:

• Análisis de riesgos en la Agencia Estatal de Meteorología

Para los que han trabajado con Magerit v.1

Con respecto a Magerit v1.0, todos los conceptos le resultarán familiares, aunque hay cierta evolución. En particular permanece lo que se denominaba submodelo de elementos: activos, amenazas, vulnerabilidades, impactos, riesgos y salvaguardas. Esta parte conceptual ha sido refrendada por el paso del tiempo y sigue siendo el eje alrededor del cual se vertebran las fases fundamentales de análisis y gestión. Se ha revisado y ampliado lo que se denominaba "subestados de seguridad" dándole el nuevo nombre de "dimensiones" e introduciendo nuevas varas de medir lo que interesa de los activos. El submodelo de procesos aparece bajo el epígrafe de "estructuración del proyecto de análisis y gestión de riesgos".

Si bien Magerit v1.0 ha resistido bien el paso del tiempo en lo conceptual, no se puede decir lo mismo de los detalles técnicos de los sistemas de información con los que se trabaja. Se intenta una puesta al día; pero ante todo se intenta diferenciar lo que es esencial (y permanente) de lo que es coyuntural y cambiará con el tiempo. Esto se traduce en parametrizar el método de trabajo, referenciándolo a catálogos externos de amenazas y salvaguardas que se podrán actualizar, adaptándose al paso del tiempo, tanto por progreso tecnológico como por progreso de los sujetos, pues tan cierto es que los sistemas cambian como que lo hacen los sujetos a su alrededor, buenos y malos. Y, cuanto más éxito tengan los sistemas, más usuarios tendrán y simultáneamente, más sujetos habrá interesados en abusar de ellos o, simplemente, destruirlos. Así pues, quede el método, abierto de forma que estando claro qué se hace y cómo, se puedan adaptar los detalles a cada momento.

A efectos prácticos, el párrafo anterior se traduce en que se ha segregado en un libro anejo, "Catálogo de Elementos", los tipos de activos, las dimensiones y criterios de valoración, el catálogo de amenazas y el catálogo de salvaguardas, de tal forma que puedan evolucionar.

El apéndice 6 del Método es más preciso estableciendo las correspondencias entre la versión 1.0 y esta.

Derechos de Utilización

MAGERIT es una metodología de carácter público, perteneciente al Ministerio de Administraciones Públicas. Su utilización no requiere autorización previa del MAP.

Responsable del Producto

Secretaría de Estado para la Administración Pública. Dirección General para el Impulso de la Administración Electrónica. Subdirección General de Coordinación y Estudios.

Formación

Por Resolución de 26 de febrero de 2008 (BOE de 8 de marzo), el Instituto Nacional de Administración Pública, convoca actividades formativas sobre Tecnologías de la Información y las Comunicaciones a desarrollar durante el año 2008, dentro del "Plan Interadministrativo de Formación Continua en el Área de las Tecnologías de la Información y las Comunicaciones - 2008". Entre estos cursos están dos dedicados a "MAGERIT".

IIV Curso de Auditoría de Sistemas de Información

Por Resolución de 15 de febrero de 2008 (BOE de 3 de marzo), el Instituto Nacional de Administración Pública convoca el IV Curso de Auditoría de Sistemas de Información, a desarrollar dentro del "Plan Interadministrativo de Formación Continua en el Área de las Tecnologías de la Información y las Comunicaciones - 2008". Entre los módulos de dicho curso figuran:

• CASI-0404 "Análisis y gestión de riesgos de los sistemas de información" (MAGERIT)

Más información

Para más información contactar con:

secretaria.csi@map.es