Magerit Metodologa de Anlisis y Gestin de Riesgos de Sistemas de la Informacin

Descripcin: Magerit es una metodologa pblica, la cual fue elaborada por el Concejo Superior de Administracin Electrnica, para analizar y gestionar los riesgos de los Sistemas de Informacin (SI). Actualmente est en su segunda versin

Uno de los principales objetivos que se tiene con la metodologa MAgerit es minimizar los riesgos de la implantacin y uso de las tecnologas de la informacin, dirigida a la gestin pblica. Objetivos que persigue la metodologa Magerit Los objetivos de la metodologa Magerit se clasifican en directos e indirectos Objetivos Directos Concientizar ---Riesgos

Hacerle caer en cuenta o concientizar a los encargados de los Sistemas de Informacin de la presencia de los riesgos y tambin sobre la necesidad de pararlos o detenerlos a tiempo. Ofrecer -------

Ofrecer un mtodo sistemtico con el objetivo de analizar los riesgos Descubrir. Planificar Contribuir con el descubrimiento y la planificacin de medidas oportunas con el objetivo de mantener los riesgos bajo control.

Objetivos Indirectos Preparar a la organizacin Evaluacin Auditora Certificacin o acreditacin

Preparar a la organizacin para los procedimientos de evaluacin, auditora, certificacin o acreditacin, segn corresponda en cada caso. En esta metodologa, se ha investigado la homogeneidad de los informes, los cuales renen los hallazgos y las conclusiones de un proyecto de anlisis y gestin de riesgos Modelo de valor Activos de la empresa En el modelo de valor se determina la importancia que representan los activos para una organizacin, as como de las dependencias entre los diferentes activos Mapa de riesgos Amenazas En el mapa de valor se relacionan las amenazas a las que estn expuestos los activos de la organizacin Evaluacin de Salvaguardas Evaluacin En la evaluacin de salvaguardas se evala la eficacia de las salvaguardas existentes en relacin al riesgo que afrontan Estado de riesgo Activos de la empresa Ene le estado de riesgo, los activos son caracterizados por su riesgo residual, lo que esto quiere decir, que puede pasar tomando en consideracin las salvaguardas desplegadas. Informe de insuficiencias En el informe de insuficiencias, se indica la ausencia o debilidad que aparecen como oportunas para reducir los riesgos sobre el sistema Plan de seguridad El plan de seguridad, consiste en un conjunto de programas que permiten materializar las decisiones de gestin de riesgos. Guas tcnicas Las guas tcnicas son utilizadas para ejecutar un proyecto de gestin y anlisis de riesgos. A continuacin se indicarn las tcnicas Tcnicas especficas para el anlisis de riesgos: Anlisis mediante tablas Anlisis algortmico rboles de ataque

Tcnicas generales: Anlisis costo- beneficio Diagramas de flujo de datos Diagramas de procesos Tcnicas grficas Planificacin de proyectos Sesiones de trabajo: entrevistas, reuniones y presentaciones Valoracin delphi

Anlisis de riesgos El anlisis de riesgos se utiliza para conocer los activos que posee una organizacin, de forma clara y precisa, tambin para estimar que podra pasar con estos Pasos para realizar un anlisis de riesgos Identificar Activos de la empresa El primer paso consiste en identificar los activos de la empresa, su vnculo y el encaso de que fallen, saber cual es costo que le representara a la organizacin Amenazas El segundo paso consiste en determinar las amenazas a las que estaran expuestos los activos de la empresa Establecer El tercer paso consiste en implantar salvaguardas para reducir los riesgos y observar cuan eficaces son. Estimar El cuarto paso consiste en evaluar el impacto que podran tener los activos en el caso de que se presenten las amenazas Estimar El quinto paso consiste en estimar la posible materializacin de la amenaza

Qu es el ISO 17799? En toda organizacin que haga uso de las tecnologas de informacin se recomienda implementar buenas prcticas de seguridad, pues en muchas ocasiones el no seguir un proceso de implementacin adecuado como el que establece el ISO 17799 puede generar huecos por la misma complejidad de las organizaciones, en ese sentido, aumenta la posibilidad de riesgos en la informacin. Este estndar internacional de alto nivel para la administracin de la seguridad de la informacin, fue publicado por la ISO (International Organization for Standardization) en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones.

El ISO 17799, al definirse como una gua en la implementacin del sistema de administracin de la seguridad de la informacin, se orienta a preservar los siguientes principios de la seguridad informtica: Confidencialidad. Asegurar que nicamente personal autorizado tenga acceso a la informacin. Integridad. Garantizar que la informacin no ser alterada, eliminada o destruida por entidades no autorizadas. Disponibilidad. Asegurar que los usuarios autorizados tendrn acceso a la informacin cuando la requieran. Estos principios en la proteccin de los activos de informacin constituyen las normas bsicas deseables en cualquier organizacin, sean instituciones de gobierno, educativas e investigacin; no obstante, dependiendo de la naturaleza y metas de las organizaciones, stas mostrarn especial nfasis en algn dominio o rea del estndar ISO 17799. El objetivo de la seguridad de los datos es asegurar la continuidad de las operaciones de la organizacin, reducir al mnimo los daos causados por una contingencia, as como optimizar la inversin en tecnologas de seguridad. Como todo buen estndar, el ISO 17799 da la pauta en la definicin sobre cules metodologas, normas o estndares tcnicos pueden ser aplicados en el sistema de administracin de la seguridad de la informacin, se puede entender que estos estndares son auxiliares y sern aplicados en algn momento al implementar el mismo. La aplicacin de un marco de referencia de seguridad basado en el ISO 17799 proporciona beneficios a toda organizacin que lo implemente, al garantizar la existencia de una serie de procesos que permiten evaluar, mantener y administrar la seguridad de la informacin. Las polticas, estndares locales y los procedimientos se encuentran adaptados a las necesidades de la organizacin debido a que el proceso mismo de su elaboracin integra mecanismos de control y por ltimo, la certificacin permite a las organizaciones demostrar el estado de la seguridad de la informacin, situacin que resulta muy importante en aquellos convenios o contratos con terceras organizaciones que establecen como requisito contractual la certificacin BS7799. Antecedentes Es importante entender los principios y objetivos que dan vida al ISO 17799, as como los beneficios que cualquier organizacin, incluyendo las instituciones pblicas, privadas y ambientes educativos pueden adquirir al implementarlo en sus prcticas de seguridad de la informacin. El estndar de seguridad de la informacin ISO 17799, descendiente del BS 7799 Information Security Management Standard de la BSI (British Standard Institute) que public su primera versin en Inglaterra en 1995, con actualizaciones realizadas en 1998 y 1999, consiste de dos partes: Parte 1. Cdigo de prcticas. Parte 2. Especificaciones del sistema de administracin de seguridad de la informacin. Por la necesidad generalizada de contar con un estndar de carcter internacional que permitiera reconocer o validar el marco de referencia de seguridad aplicado por las organizaciones, se elabor el estndar ISO17799:2000, basado principalmente en la primera parte del BS 7799 conocida como Cdigo de Prcticas (BS 7799 Part 1: Code of Practice). Los controles del ISO 17799

El xito de la implementacin del estndar de seguridad ISO 17799 requiere de una serie de procedimientos donde, inicialmente, el anlisis de riesgos identificar los activos de la informacin y las amenazas a las cuales se encuentra expuesta. El anlisis de riesgos guiar en la correcta seleccin de los controles que apliquen a la organizacin; este proceso se conoce en la jerga del estndar como Statement of Applicability, que es la definicin de los controles que aplican a la organizacin con objeto de proporcionar niveles prcticos de seguridad de la informacin y medir el cumplimiento de los mismos. A continuacin, se describirn cada una de las diez reas de seguridad con el objeto de esclarecer los objetivos de estos controles. Polticas de seguridad. El estndar define como obligatorias las polticas de seguridad documentadas y procedimientos internos de la organizacin que permitan su actualizacin y revisin por parte de un Comit de Seguridad. Seguridad organizacional. Establece el marco formal de seguridad que debe integrar una organizacin, tales como un foro de administracin de la seguridad de la informacin, un contacto oficial de seguridad (Information System Security Officer ISSO), revisiones externas a la infraestructura de seguridad y controles a los servicios de outsourcing, entre otros aspectos. Clasificacin y control de activos. El anlisis de riesgos generar el inventario de activos que deber ser administrado y controlado con base en ciertos criterios de clasificacin y etiquetado de informacin, es decir, los activos sern etiquetados de acuerdo con su nivel de confidencialidad. Seguridad del personal. Contrario a lo que uno se puede imaginar, no se orienta a la seguridad del personal desde la ptica de proteccin civil, sino a proporcionar controles a las acciones del personal que opera con los activos de informacin. El objetivo de esta rea del estndar es contar con los elementos necesarios para mitigar el riesgo inherente a la interaccin humana, es decir, establecer claras responsabilidades por parte del personal en materia de seguridad de la informacin. Seguridad fsica y de entorno. Identificar los permetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de informacin y control de los accesos a las distintas reas con base en el tipo de seguridad establecida. Comunicaciones y administracin de operaciones. Integrar los procedimientos de operacin de la infraestructura tecnolgica y de controles de seguridad documentados, que van desde el control de cambios en la configuracin de los equipos, manejo de incidentes, administracin de aceptacin de sistemas, hasta el control de cdigo malicioso. Control de acceso. Habilitar los mecanismos que permitan monitorear el acceso a los activos de informacin, que incluyen los procedimientos de administracin de usuarios, definicin de responsabilidades o perfiles de seguridad y el control de acceso a las aplicaciones. Desarrollo de sistemas y mantenimiento. La organizacin debe disponer de procedimientos que garanticen la calidad y seguridad de los sistemas desarrollados para tareas especficas de la organizacin. Continuidad de las operaciones de la organizacin. El sistema de administracin de la seguridad debe integrar los procedimientos de recuperacin en caso de contingencias, los cuales debern ser revisados de manera constante y puestos a prueba con la finalidad de determinar las limitaciones de los mismos. Requerimientos legales. La organizacin establecer los requerimientos de seguridad que deben cumplir todos sus proveedores, socios y usuarios; stos se encontrarn formalizados en los contratos o convenios.

Cada una de las reas establece una serie de controles que sern seleccionados dependiendo de los resultados obtenidos en el anlisis de riesgos, adems, existen controles obligatorios para toda organizacin, como es el de las polticas de seguridad cuyo nmero depender ms de la organizacin que del estndar, el cual no establece este nivel de detalle. El ISO 17799 en la UNAM El Departamento de Seguridad en Cmputo (DSC) de la UNAM y UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cmputo), cuentan con el personal capacitado para apoyar a cualquier organizacin en la implementacin del estndar de seguridad ISO 17799. Hoy en da se desarrollan e implementan los sistemas de administracin de seguridad de la informacin descritos en los estndares de seguridad actuales; de igual forma, a travs de metodologas como OCTAVE (Operationally Critical Threat Asset and Vulnerability Evaluation) se enriquece la implementacin del ISO 17799. Asimismo, se proporciona capacitacin dentro de las lneas de especializacin que imparte el DSC/UNAM-CERT. En la actualidad, se prepara una lnea enfocada a la implementacin de estndares de seguridad en las organizaciones, por lo que cualquier persona interesada en esta capacitacin puede consultar la direccin electrnica del Congreso de Seguridad en Cmputo 2005. Conclusiones La correcta seleccin de los controles es una tarea que requiere del apoyo de especialistas en seguridad informtica, con experiencia en la implementacin del ISO 17799, ya que cuando stos se establecen de forma inadecuada pueden generar un marco de trabajo demasiado estricto y poco adecuado para las operaciones de la organizacin. Como todo estndar, el ISO 17799 proporciona un marco ordenado de trabajo al cual deben sujetarse todos los integrantes de la organizacin, y aunque no elimina el cien por ciento de los problemas de seguridad, s establece una valoracin de los riesgos a los que se enfrenta una organizacin en materia de seguridad de la informacin. Dicha valoracin permite administrar los riesgos en funcin de los recursos tecnolgicos y humanos con los que cuenta la organizacin; adicionalmente, establece un entorno que identifica los problemas de seguridad en tiempos razonables, situacin que no es posible, la mayora de las veces, si no se cuenta con controles de seguridad como los establecidos en el ISO 17799, es decir, la aplicacin del estndar garantiza que se podrn detectar las violaciones a la seguridad de la informacin, situacin que no necesariamente ocurre en caso de no aplicarse el estndar.