Top Qs
Línea de tiempo
Chat
Contexto

Magerit (metodología)

metodología de análisis y gestión de riesgos del Gobierno de España enfocada a la administración pública De Wikipedia, la enciclopedia libre

Remove ads

Magerit (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) está elaborada por el Consejo Superior de Administración Electrónica del Gobierno de España para minimizar los riesgos de la implantación y uso de las Tecnologías de la Información, enfocada a las Administraciones Públicas. Actualmente está en su versión 3. Magerit ofrece una aplicación para el análisis y gestión de riesgos de un sistema de información.

Remove ads

Gestión de riesgos en Magerit v3

Resumir
Contexto

Método de Análisis de Riesgos (MAR)

El Método de Análisis de Riesgos (MAR) constituye el núcleo del enfoque de Magerit v3. Proporciona una estructura sistemática y bien definida para evaluar los riesgos asociados con los activos de información, las amenazas que los acechan y las vulnerabilidades presentes en los sistemas. El MAR se basa en una serie de pasos bien definidos, que incluyen la identificación y valoración de activos, la identificación y análisis de amenazas, la evaluación de vulnerabilidades y la estimación de riesgos. Este método permite a los profesionales de la seguridad tomar decisiones informadas y priorizar las medidas de protección necesarias para mitigar los riesgos identificados.

Proyectos de análisis de riesgos (PAR)

Los Proyectos de Análisis de Riesgos (PAR) son implementaciones específicas del MAR en entornos concretos. Estos proyectos se llevan a cabo en organizaciones para evaluar los riesgos asociados con sus sistemas de información y establecer medidas de seguridad adecuadas. Los PAR se inician con la definición de los objetivos y alcance del proyecto, seguidos de la identificación y valoración de activos críticos, amenazas relevantes y vulnerabilidades existentes. A través de un enfoque sistemático, los PAR permiten identificar los riesgos más significativos y diseñar estrategias de mitigación adecuadas. Los resultados obtenidos de los PAR proporcionan una base sólida para la toma de decisiones en materia de seguridad.

Plan de Seguridad (PS)

El Plan de Seguridad (PS) es el documento final que se deriva del proceso de análisis de riesgos y define las medidas de seguridad necesarias para proteger los activos de información de una organización. El PS se basa en los resultados obtenidos del análisis de riesgos y proporciona una visión clara de las acciones y controles de seguridad que deben implementarse. Incluye políticas, procedimientos, directrices y normas específicas que guían la gestión de la seguridad de la información en la organización. El PS se actualiza periódicamente para reflejar los cambios en el entorno tecnológico y las nuevas amenazas emergentes.

Los planes de seguridad pueden recibir diferentes nombres según el contexto y el enfoque específico de la organización. Algunos nombres comunes para los planes de seguridad son:

  • Plan de mejora de la seguridad de la información.
  • Plan Director de Seguridad.
  • Plan estratégico de ciberseguridad.
  • Plan de seguridad de la información digital.

En el contexto del Esquema Nacional de Seguridad (ENS) en España, el nombre específico utilizado para el plan de seguridad es Plan de Adecuación. El ENS establece los requisitos y directrices para la seguridad de la información en las administraciones públicas en España, y en este marco, se espera que las organizaciones desarrollen y mantengan un Plan de Adecuación que cumpla con los criterios establecidos en el ENS.

Opciones de tratamiento del riesgo

Magerit ofrece diversas opciones para tratar los riesgos identificados en el análisis. Estas opciones incluyen la eliminación, mitigación, compartición y financiación del riesgo.

Eliminación

  • Definición: Suprimir la fuente de riesgo eliminando activos no esenciales o reestructurando la arquitectura del sistema (ejemplo: cambiar sistemas operativos, segregar redes).
  • Detalle: Requiere un nuevo análisis de riesgos tras la modificación del sistema.

Mitigación

  • Definición: Reducir la probabilidad o el impacto del riesgo mediante salvaguardas técnicas u organizativas (ejemplo: mejorar controles de seguridad).
  • Detalle: Puede implicar añadir nuevos activos (como equipamiento técnico), lo que también exige reevaluar el riesgo del sistema ampliado.

Compartición

  • Definición: Transferir parcial o totalmente el riesgo a terceros mediante:
    • Externalización de componentes (reparto de responsabilidades).
    • Contratación de seguros (transferencia cuantitativa del impacto económico).
  • Detalle: Requiere ajustar el análisis de riesgos según los cambios en el sistema o su valoración.

Financiación

  • Definición: Aceptar el riesgo y reservar fondos para cubrir sus consecuencias (ejemplo: fondos de contingencia).
  • Detalle: No modifica el sistema, por lo que no requiere un nuevo análisis de riesgos.
Remove ads

Herramientas comerciales

  • GxSGSI: Herramienta de Análisis y Gestión de Riesgo basada en Magerit y homologada por la Agencia de la Unión Europea para la Ciberseguridad
  • R-Box: Herramienta de Análisis y Gestión de Riesgo basada en Magerit.
  • SECITOR: Herramienta de Análisis y Gestión de Riesgos de alto nivel que permite la gestión integral de la Seguridad de la Información siendo un sistema multimarco (ISO 27001, Protección de datos, ENS, ISO 19001, etc), además de una monitorización en tiempo real de la seguridad de la organización.
  • EAR / PILAR: Entorno de análisis de riesgos[1]
Remove ads

Véase también

Referencias

Enlaces externos

Loading related searches...

Wikiwand - on

Seamless Wikipedia browsing. On steroids.

Remove ads
Remove ads