Magerit
¿Qué es la tecnología Magerit?
Magerit es una metodología de análisis y gestión de riesgos de los sistemas de información.
Fue desarrollada por el Consejo Superior de Administración Electrónica (CSAE) del gobierno de España para minimizar los riesgos de la implantación y uso de las Tecnologías de la Información, enfocada a las Administraciones Públicas.
Magerit v3
Magerit versión 3 es la metodología de análisis y gestión de riesgos elaborada por el antiguo Consejo Superior de Administración Electrónica y actualmente mantenida por la Secretaría General de Administración Digital (Ministerio de Asuntos Económicos y Transformación Digital) con la colaboración del Centro Criptológico Nacional (CCN).
MAGERIT es una metodología de carácter público que puede ser utilizada libremente y no requiere autorización previa. Interesa principalmente a las entidades en el ámbito de aplicación del Esquema Nacional de Seguridad (ENS) (conoce más sobre el ENS: Esquema Nacional de Seguridad) para satisfacer el principio de la gestión de la seguridad basada en riesgos, así como el requisito de análisis y gestión de riesgos, considerando la dependencia de las tecnologías de la información para cumplir misiones, prestar servicios y alcanzar los objetivos de la organización.
Análisis de riesgos Magerit
El Método de Análisis de Riesgos (MAR) constituye el núcleo del enfoque de Magerit v3. Proporciona una estructura sistemática y bien definida para evaluar los riesgos asociados con los activos de información, las amenazas que los acechan y las vulnerabilidades presentes en los sistemas.
El enfoque de Magerit se estructura en tres fases principales:
- Inventario de Activos y Valoración de la Información: En esta etapa, se identifican todos los activos de información relevantes para la organización y se evalúa su importancia en función de su valor para el negocio. Esto puede incluir datos sensibles, infraestructura tecnológica, software, recursos humanos, entre otros.
- Identificación y Valoración de Amenazas y Vulnerabilidades: Aquí se analizan las posibles amenazas que podrían afectar a los activos de información, así como las vulnerabilidades que podrían ser explotadas por esas amenazas. Se asignan valores numéricos a la probabilidad de ocurrencia de las amenazas y a la magnitud del impacto potencial en caso de materializarse.
- Análisis y Gestión de Riesgos: En esta última fase, se calcula el riesgo asociado a cada amenaza identificada multiplicando la probabilidad de ocurrencia por el impacto potencial. Luego, se priorizan los riesgos en función de su nivel de riesgo residual, es decir, el riesgo que permanece después de aplicar medidas de seguridad existentes o planeadas. Finalmente, se desarrollan estrategias de mitigación para reducir los riesgos a niveles aceptables para la organización.
Objetivos de Magerit
Los objetivos directos de Magerit son:
- Identificación de Activos de Información: Uno de los primeros pasos en la implementación de la seguridad de la información es identificar y catalogar los activos digitales de la organización. Magerit tiene como objetivo ayudar a las organizaciones a realizar un inventario exhaustivo de estos activos, que pueden incluir desde datos sensibles hasta infraestructura tecnológica y recursos humanos clave. Esta identificación precisa proporciona una base sólida para el análisis de riesgos y la implementación de medidas de seguridad adecuadas.
- Evaluación de la Importancia de la Información: No todos los activos de información son iguales en términos de su valor para la organización. Magerit busca evaluar la importancia de la información en función de su relevancia para el negocio, su confidencialidad, integridad y disponibilidad. Esta evaluación permite priorizar los esfuerzos de seguridad y asignar recursos de manera más efectiva, centrándose en proteger los activos más críticos para la operación de la organización.
- Identificación de Amenazas y Vulnerabilidades: Una vez que se han identificado los activos de información y se ha evaluado su importancia, Magerit se centra en identificar las posibles amenazas que podrían afectar a estos activos, así como las vulnerabilidades que podrían ser explotadas por esas amenazas. Esta etapa del proceso de análisis de riesgos es fundamental para comprender el panorama de amenazas y tomar medidas proactivas para mitigar los riesgos asociados.
- Evaluación de Riesgos: El análisis de riesgos es el núcleo de la metodología Magerit. Se calcula el riesgo asociado a cada amenaza identificada multiplicando la probabilidad de ocurrencia por el impacto potencial en caso de materializarse. Esta evaluación de riesgos permite a las organizaciones priorizar los riesgos y concentrar sus esfuerzos en las áreas donde el riesgo es más alto, maximizando así el retorno de la inversión en seguridad de la información.
- Desarrollo de Estrategias de Mitigación: Una vez que se han identificado y evaluado los riesgos, Magerit ayuda a las organizaciones a desarrollar estrategias de mitigación para reducir la probabilidad de ocurrencia de las amenazas y minimizar el impacto en caso de que ocurran. Estas estrategias pueden incluir la implementación de controles de seguridad tecnológicos, políticas y procedimientos de seguridad, y la capacitación del personal en prácticas seguras de manejo de la información.
- Monitorización y Revisión Continua: La seguridad de la información es un proceso continuo y en constante evolución. Magerit promueve la monitorización y revisión periódica de las medidas de seguridad implementadas, así como la actualización regular del análisis de riesgos para adaptarse a los cambios en el entorno operativo y las nuevas amenazas emergentes.
Estructura de Magerit
La Estructura de Magerit es una metodología de análisis y gestión de riesgos de los sistemas de información. Esta metodología se divide en tres libros: “Método”, “Catálogo de Elementos” y «Guía de Técnicas».
- El libro I “Método” proporciona una estructura sistemática y bien definida para evaluar los riesgos asociados con los activos de información, las amenazas que los acechan y las vulnerabilidades presentes en los sistemas.
- El libro II “Catálogo de Elementos” describe los elementos que componen un sistema de información y los clasifica en categorías.
- Por último, el libro III “Guía de Técnicas” proporciona una serie de técnicas para la identificación, análisis y evaluación de riesgos.
Catálogo de elementos de Magerit
El catálogo de elementos de Magerit es una lista de elementos que se utilizan en el análisis de riesgos. Estos elementos incluyen activos, amenazas, vulnerabilidades, salvaguardas y riesgos.
Guía de técnicas de Magerit
La guía de técnicas de Magerit proporciona información detallada sobre las técnicas que se utilizan en el análisis de riesgos. Estas técnicas incluyen análisis de amenazas, análisis de vulnerabilidades, análisis de impacto y análisis de riesgos.
Magerit y Pilar
PILAR es una herramienta que implementa la metodología Magerit de análisis y gestión de riesgos, desarrollada por el Centro Criptológico Nacional (CCN) y de amplia utilización en la administración pública española.
Magerit y el Esquema Nacional de Seguridad
Magerit es una metodología que se utiliza principalmente en el ámbito de aplicación del Esquema Nacional de Seguridad (ENS) para satisfacer el principio de la gestión de la seguridad basada en riesgos (Buenas prácticas en Seguridad de la Información), así como el requisito de análisis y gestión de riesgos, considerando la dependencia de las tecnologías de la información para cumplir misiones, prestar servicios y alcanzar los objetivos de la organización.
Certifícate en el ENS Esquema Nacional de Seguridad con SEIFTI
Con Seifti y nuestro equipo de auditores le ayudará a llevar a cabo una auditoría interna para que pueda certificarse en el Esquema Nacional de Seguridad – ENS
¿Quieres incrementar tus posibilidades de acceso a la venta de tus servicios a la Administración Pública?
En Seifti contamos con un equipo experto para certificar a entidades en el ENS.
Nuestro equipo le asistirá en el uso, propósito y aplicación de esta certificación de seguridad de manera que cumpla con los requisitos del ENS, introduciendo a la terminología aplicable al ENS y ayudándoles a determinar el alcance del Sistema de Gestión de la Seguridad de la Información.
No Comments