Se ha publicado una nueva versin de la Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin (MAGERIT v3) elaborada por el Consejo Superior de Administracin Electrnica. Esta nueva versin se enfoca hacia el estandar de gestion de la seguridad ISO 27000.MAGERIT es la metodologa de anlisis y gestin de riesgos elaborada como respuesta a la percepcin de que la Administracin, y, en general, toda la sociedad, dependen de forma creciente de las tecnologas de la informacin para el cumplimiento de su misin.MAGERIT es la metodologa sobre la que se basa la herramienta PILAR, desarrollada por el Centro Criptolgico Nacional (CCN) y de amplia utilizacin en la administracin pblica espaola. MAGERIT consta de tres documentos, catlogo, tcnicas y mtodo los cuales pueden descargar a continuacin:

Los cambios de la ltima versin MAGERIT Anlisis de Riesgos

Este ao hemos tenido la revisin de la metodologa para el Anlisis de Riesgos MAGERIT. Los cambios han sido bastantes, pero en este caso nos vamos a orientar expresamente a los relativos del Anlisis de Riesgos, la tipologa de activos, Amenazas y Vulnerabilidades. Este contenido lo podis encontrar en el Libro 2 de MAGERIT 3 denominado Catlogo de Elementos.Tipos de ActivosComparando lo que se ha establecido en la Versin 3 con MAGERIT 2, lo primero que podemos recoger es que el listado de Activos es distinto, de hecho se inicia el apartado haciendo referencia al concepto deActivos Esencialespero finalmente, a la hora de ser prcticos carecen de importancia ya que el listado queda de la siguiente forma:[D]Datos/informacin

[K]Claves Criptogrficas

[S]Servicios

[SW]Aplicaciones

[HW]HardWare

[COM]Redes de Comunicaciones

[Media]Soportes de informacin

[AUX]Equipamiento Auxiliar

[L]Instalaciones

[P]Personal

Por lo que podemos observar, realmente se ha incluido un nuevo Tipo de Activo, K Claves criptogrficas, y se ha adaptado el nombre de SI a Media para identificar a los Soportes de Informacin.Existen otros detalles como el hecho de que el Backup se considera ahora parte de Datos/Informacin o que se reconozca al personal Administrador de Seguridad. Matices que se ajustan mejor a la realidad.Criterios de ValoracinRealmente se sigue utilizando la misma regla numrica pero ahora existe el lmite deextremo:

Y en esta versin, se han establecido las escalas con nmeros que ayudan a comprender y utilizar los ratios de valoracin. Este punto,4.1 Escalas estndar, es uno de las grandes mejoras. Se agradece poder mantener los criterios de una forma mucho ms clara.Cambios de Amenazas y VulnerabilidadesAsociacin de tipo de activos ms actualLos cambios ms interesantes en MAGERIT se han dado en este aspecto de identificar Amenazas.En este sentido, en esta versin de MAGERIT de forma mucho ms acorde a la realidad actual donde existen un sin fin de componentes virtualizados, las amenazas estn asociadas a los elementos que realmente pueden sufrir este tipo de eventos. Es decir, actualmente se generan elementos como switches mediante los sistemas de virtualizacin por lo que se trata de elementos no-fsicos y ahora la asociacin es mucho ms correcta.Amenazas que afectan a activos especficosExisten algunos casos en los que las tablas de amenazas identifican un tipo de activo mucho ms especfico como es el caso de D.log y D.Conf (refiriendose a Datos de logs y Datos de Configuracin respectivamente).Esto ocurre para el siguiente listado de Amenazas: E.3 Errrores de monitorizacin E.4 Errores de configuracin A.3 Manipulacin de los registros de actividad A.4 Manipulacin de la configuracin A.13 RepudioAmenazas obsoletas, desaparecidas y reaparicionesA lo largo del nuevo listado se identifica una amenaza como obsoleta, la E.7 Deficiencia en la organizacin. Todava la mantienen por lo que aunque quede obsoleta, deberamos de seguir utilizndola (no creo que estn muy claras las responsabilidad en muchos casos).Existe otra obsoleta, la E.14 Escapes de informacin. Pero en este caso recomiendan el uso de E.19 Fugas de informacin.Desaparecen las siguientes amenazas: E.16 Introduccin de falsa informacin E.17 Degradacin de la informacin A.16 Introduccin de falsa informacin A.17 Corrupcin de la informacinSe suman: A.3 Manipulacin de los registros de actividad A.23 Alteracin de los equiposVulnerabilidades identificadas por EBIOSUno de los puntos ms negativos que se pueden identificar en esta versin, es la identificacin de vulnerabilidades en base a EBIOS (Norma Francesa que traducida significa: Expresin de las necesidades y de identificacin de los Objetivos de Seguridad). Lo que supone tener que seguir otro nuevo documento.Adems, esta documentacin no se encuentra en castellano ni en ingles con los problemas que ello supone. Agradeceramos las inclusiones en castellano para facilitar la labor.Resto de Cambios en MAGERITSin examinar el resto del documento en profundidad, se pueden apreciar cambios en el planteamiento realizado respecto al punto de las Salvaguardas. En este aspecto se ha reducido y simplificado en exceso para mi gusto ya que simplemente se mencionan las alternativas sin entrar en ciertos aspectos de detalle que para personal no experto en seguridad TIC, se queda demasiado resumido.

REDACCION PARA TEMA DE PRCTICAS

Los activosestn expuestos a amenazas, y cuando estas amenazas se materializan, entonces degradan el activo, produciendo un impacto. Si estimamos la frecuencia con que se materializan las amenazas (es decir si vemos cada que tiempo se da este problema, y si esto sucede muy frecuente), es que podemos deducir ya elriesgo al que est expuesto el sistema. Otros trminos que debemos insertar al contexto del tema que estamos abordando es la Degradacin y frecuencia, son estos trminos los que califican la vulnerabilidad del sistema.Una manera de contrarrestar esto, es a travs del gestor del sistema de informacin, ste sistema dispone de salvaguardas que o bien reducen la frecuencia de ocurrencia, o bien reducen o limitan el impacto. Dependiendo del grado de implantacin de estas salvaguardas, el sistema pasa a una nueva estimacin de riesgo que se denominariesgo residual.PILAR dispone de una biblioteca estndar de propsito general, y es capaz de realizar calificaciones de seguridad respecto de normas ampliamente conocidas como son: Esquema Nacional de Seguridad. ISO/IEC 27002:2005. Los Criterios de Seguridad, Normalizacin y Conservacin del Consejo Superior de Informtica y para el Impulso de la Administracin Electrnica, orientados a la Administracin Pblica

Realizar un informe respecto al acceso yanto privado como pblico. Y como medida correctiva sera la de enmarcar dentro de la labor que tienen encomendada la divulgacin de la mejores prcticas acerca de la seguridad de la informacin Establecer polticas de seguridad acompaado de un adecuado plan de divulgacin y sensibilizacin para que todos los niveles de la institucin (incluida la coordinacin) conozcan los riesgos para la seguridad de la informacin, tengan muy presente el incremento del riesgo de sufrir cyber-ataques. Tener la capacidad de respuesta a incidentes de seguridad de la informacin. Responder de forma rpida y eficiente a las posibles amenazas, y afrontar de forma activa las nuevas cyber-amenazas Revisin de reas designadas como estratgicas o de gran