Documente Academic
Documente Profesional
Documente Cultură
UNIVERSIDAD LAICA
ELOY ALFARO DE MANAB
FACULTAD DE CIENCIAS INFORMTICAS
Ingeniera en Sistemas
TEMA:
Magerit
MATERIA:
Auditoria y Centro de Computacin
NOMBRES Y APELLIDOS:
Arias Medranda Josue Alejandro
Delgado Alvia Carlos Eduardo
Delgado Mero Juan Isaac
Loor Garca Jos Geovanny
Muentes Sabando Vctor Manuel
CURSO:
Quinto Anual B
CATEDRTICO:
Ing. Becker Briones
AO LECTIVO:
2015 - 2016
DESCRIPCIN GENERAL DE MAGERIT
Ventajas de Magerit:
Las decisiones que deban tomarse y que tengan que ser validadas por la
direccin estarn fundamentadas y sern fcilmente defendibles.
Desventajas de Magerit:
El hecho de tener que traducir de forma directa todas las valoraciones en
valores econmicos hace que la aplicacin de esta metodologa sea realmente
costosa.
ESTRUCTURACION DE LA METODOLOGIA
La versin 2 y 3 de Magerit se ha estructurado en tres libros: El Mtodo, un
"Catlogo de Elementos" y una "Gua de Tcnicas".
EL MTODO
Realizacin del anlisis y de la gestin.
En la Planificacin del Anlisis y Gestin de Riesgos se establecen las
consideraciones necesarias para arrancar el proyecto, investigando la
oportunidad de realizarlo, definiendo los objetivos que ha de cumplir y el
dominio (mbito) que abarcar, planificando los medios materiales y humanos
para su realizacin e iniciando materialmente el propio lanzamiento del
proyecto.
Anlisis de Riesgos.
En el Anlisis de riesgos se identifican y valoran los elementos componentes
del riesgo, obteniendo una estimacin de los umbrales de riesgo deseables. Es
la consideracin sistemtica del dao probable que puede causar un fallo en la
seguridad de la informacin, con las consecuencias potenciales de prdida de
confidencialidad, integridad y disponibilidad de la informacin.
Elementos del anlisis de riesgos.
En la realizacin de un Anlisis y Gestin de Riesgos segn MAGERIT, el
Analista de Riesgos es el profesional especialista que maneja seis elementos
bsicos:
Activos: Recursos del sistema de informacin o relacionados con este,
necesarios para que funcione correctamente y alcance los objetivos
propuestos por su direccin. El activo esencial es la informacin o dato.
Amenazas: Determinar las amenazas que pueden afectar a cada activo,
hay que estimar cun vulnerable es el activo en dos sentidos:
Degradacin: Como es de perjudicial y Frecuencia: Cada cuanto se
materializa la amenaza.
Vulnerabilidades: Potencialidad o posibilidad de ocurrencia de la
materializacin de una amenaza sobre dicho activo.
Impactos: Es el dao sobre el activo causado por la amenaza,
conociendo el valor de los activos sera muy sencillo calcular el valor del
impacto.
ACTIVOS
Identificacin de los Activos protegibles del Dominio MAGERIT tiene en cuenta
cinco grandes categoras de Activos:
1. El entorno o soporte del Sistema de Informacin, que comprende activos
tangibles (como edificaciones, mobiliario, lugares de trabajo),
equipamiento
de
suministro
auxiliar
(energa,
climatizacin,
comunicaciones) y personal.
2. El sistema de informacin propiamente dicho del Dominio (hardware,
redes, software, aplicaciones).
3. La propia informacin requerida, soportada o producida por el Sistema
de Informacin que incluye los datos informatizados, as como su
estructuracin (formatos, cdigos, claves de cifrado) y sus soportes
(tratables informticamente o no).
4. Las funcionalidades del Dominio que justifican al Sistema de
Informacin, incluido desde el personal usuario a los objetivos
propuestos por la direccin del Dominio.
5. Otros Activos, de naturaleza muy variada, por ejemplo la imagen de la
organizacin, la confianza que inspire, el fondo de comercio, la intimidad
de las personas, etc.
Ejemplo: Un fallo en la red de conexin de datos (Activo de tipo Entorno)
provoca la imposibilidad de alimentar el Sistema de Informacin (por ejemplo
de una sucursal bancaria) que no obtiene as la Informacin de las cuentas de
sus clientes, con lo que no puede ejercer las funcionalidades de la organizacin
(atender a los clientes) y pierde imagen ante stos, como ejemplo de esos
otros activos.
RIESGOS
El riesgo es la posibilidad de que se produzca un impacto en un Activo o en el
Dominio.
Para MAGERIT el clculo del riesgo ofrece un Indicador que permite tomar
decisiones por comparacin explcita con un Umbral de Riesgo determinado; o
sea una propiedad de la relacin Vulnerabilidad /Impacto y por tanto de la
relacin entre Activos y Amenazas.
AMENAZAS
Conocimiento de las Amenazas.
Las amenazas se definen como los eventos que pueden desencadenar un
incidente en la organizacin, produciendo daos materiales o prdidas
inmateriales en sus activos.
[N] Desastres naturales: Sucesos que pueden ocurrir sin intervencin de los
seres humanos como causa directa o indirecta.
Escala subjetiva
Frecuencia muy alta
Frecuencia alta
Frecuencia media
menor de 6 aos
superior a 6 aos
Frecuencia baja
Frecuencia muy baja
El Sub-estado de Autenticacin SA
Es la propiedad que permite que no haya duda de quin se hace
responsable de una informacin o prestacin de un servicio, tanto a fin
de confiar en l como de poder perseguir posteriormente los
incumplimientos o errores. Contra la autenticidad se dan suplantaciones
y engaos que buscan realizar un fraude. La autenticidad es la base
para poder luchar contra el repudio y, como tal, fundamenta el comercio
electrnico o la administracin electrnica, permitiendo confiar sin
papeles ni presencia fsica.
El Sub-estado de Confidencialidad SC
Es la propiedad que asegura que la informacin llegue solamente a las
personas autorizadas. La confidencialidad es una propiedad de difcil
recuperacin. Una violacin de la confidencialidad puede perfectamente
El Sub-estado de Integridad
Es la propiedad de mantener los recursos libres de cualquier tipo de
modificacin no autorizada. La integridad de la informacin se ve violada
cuando un actor (empleado, programa, malware o proceso), por
accidente o mala intencin, altera de alguna manera los datos ya sea
modificndolos o borrndolos. Toda modificacin de la informacin
importante de una organizacin debe ser autorizada y registrada.
El Sub-estado de Disponibilidad SD
Es la propiedad que garantiza la disposicin de los recursos a ser
usados cuando sea necesario. La carencia de disponibilidad supone una
interrupcin del servicio. La disponibilidad afecta directamente a la
productividad de las organizaciones.
RIESGOS
El riesgo es la posibilidad de que se produzca un impacto en un Activo o en el
Dominio.
Mecanismos de salvaguarda
Una Funcin o un Servicio de salvaguarda es una accin genrica que reduce
el Riesgo mientras que un Mecanismo de salvaguarda es el procedimiento o
dispositivo, fsico o lgico, capaz de reducir el riesgo. Los mecanismos de
salvaguarda se valoran directamente por su coste tcnico u organizativo. Acta
de dos formas posibles, en general alternativas:
Neutralizando o bloqueando la materializacin de la Amenaza antes de
ser agresin.
Mejorando el estado de seguridad del Activo ya agredido, por reduccin
del Impacto.
Gestin de Riesgos
En la Gestin de riesgos se identifican las posibles funciones y servicios de
salvaguarda reductores del riesgo calculado, se seleccionan los aceptables en
funcin de las existentes y otras restricciones y se especifican los elegidos
finalmente.
Seleccin de salvaguardas
En la Seleccin de salvaguardas se escogen los mecanismos de salvaguarda a
implantar, se elabora una orientacin de ese plan de implantacin, se
establecen los procedimientos de seguimiento para la implantacin y se
recopila la informacin necesaria.
Hay que planificar el conjunto de salvaguardas pertinentes para atajar tanto el
impacto como el riesgo, reduciendo bien la degradacin del activo
(minimizando el dao), bien reduciendo la frecuencia de la amenaza
(minimizando sus oportunidades).
CATLOGO DE ELEMENTOS
Ofrece unas pautas y elementos estndar en cuanto a: tipos de activos,
dimensiones de valoracin de los activos, criterios de valoracin de los activos,
amenazas tpicas sobre los sistemas de informacin y salvaguardas a
considerar para proteger sistemas de informacin. Se persiguen dos objetivos:
Por una parte, facilitar la labor de las personas que acometen el proyecto, en el
sentido de ofrecerles elementos estndar a los que puedan adscribirse
rpidamente, centrndose en lo especfico del sistema objeto del anlisis.
Por otra, homogeneizar los resultados de los anlisis, promoviendo una
terminologa y unos criterios uniformes que permitan comparar e incluso
integrar anlisis realizados por diferentes equipos.
Valoracin de Activos.
Tipos de activos:
[S] Servicios: Funcin que satisface una necesidad de los usuarios.
[D] Datos / Informacin: Elementos de informacin que, de forma singular o
agrupada de alguna forma, representan el conocimiento que se tiene de algo.
[SW] Aplicaciones (software): Con mltiples denominaciones (programas,
aplicativos, desarrollos, etc.) son tareas que han sido automatizadas para su
desempeo por un equipo informtico.
[HW] Equipos informticos (hardware): Dcese de bienes materiales, fsicos,
destinados a soportar directa o indirectamente los servicios que presta la
organizacin, siendo pues depositarios temporales o permanentes de los datos,
soporte de ejecucin de las aplicaciones informticas o responsables del
procesado o la transmisin de datos.
[COM] Redes de comunicaciones: Incluyendo tanto instalaciones dedicadas
como servicios de comunicaciones contratados a terceros.
[SI] Soportes de informacin: Dispositivos fsicos que permiten almacenar
informacin de forma permanente o, al menos, durante largos periodos de
tiempo.
[AUX] Equipamiento auxiliar: Equipos que sirven de soporte a los sistemas de
informacin, sin estar directamente relacionados con datos.
[L] Instalaciones: Lugares donde se hospedan los sistemas de informacin y
comunicaciones.
[P] Personal: Personas relacionadas con los sistemas de informacin.
Dimensiones de valoracin de un activo .
GUIA DE TECNICAS
Proporciona algunas tcnicas que se emplean habitualmente para llevar a cabo
proyectos de anlisis y gestin de riesgos
Tcnicas especficas
Se han considerado de especial inters:
1. Uso de tablas para la obtencin sencilla de resultados.
En el anlisis de riesgos hay que trabajar con mltiples elementos que
hay que combinar en un sistema para ordenarlo por importancia sin que
los detalles perjudiquen la visin de conjunto. La experiencia ha
demostrado la utilidad de mtodos simples de anlisis llevados a cabo
por medio de tablas que, sin ser muy precisas, s aciertan en la
identificacin de la importancia relativa de los diferentes activos
sometidos a amenazas. Sea la escala siguiente til para calificar el valor
de los activos, la magnitud del impacto y la magnitud del riesgo:
MB: muy bajo
B: bajo
M: medio
A: alto
MA: muy alto
2. Tcnicas algortmicas para la obtencin de resultados elaborados.
Dcese anlisis de la distincin y separacin de las partes de un todo
hasta llegar a conocer sus principios o elementos.
3. Arboles de ataque para complementar los razonamientos de qu
amenazas se ciernen sobre un sistema de informacin.
Los rboles de ataque son una tcnica para modelar las diferentes
formas de alcanzar un objetivo. El objetivo del atacante se usa como raz
del rbol. A partir de este objetivo, de forma iterativa e incremental se
van detallando como ramas del rbol las diferentes formas de alcanzar
aquel objetivo, convirtindose las ramas en objetivos intermedios que a
Tcnicas Generales
Son utilizadas en el desarrollo de un proyecto de anlisis y gestin de riesgos.
Se han considerado de especial inters:
Anlisis coste-beneficio
Tiene como objetivo fundamental proporcionar una medida de los costes
en que se incurre en la realizacin de un proyecto y comparar dichos
costes previstos con los beneficios esperados de la realizacin de dicho
proyecto. Para la
realizacin
del
anlisis
coste/beneficio
se
seguirn
los
siguientes pasos:
Producir
estimaciones
de
costes/beneficios: Se
realizar una lista de
todo lo que es
necesario
para
implementar
el
sistema y una lista de los beneficios esperados del nuevo sistema.
(adquisicin de hardware y software, gastos de mantenimiento de
hardware y software anteriores). En la estimacin de beneficios se
pueden considerar cuestiones como incremento de la productividad,
reutilizacin de plataformas sustituidas, ahorros de adquisicin y
mantenimiento de software y hardware).
Determinar la viabilidad del proyecto y su aceptacin.
Planificacin de Proyectos
Las tcnicas del camino crtico (CP Critical Path) y PERT (Program
Evaluation and Review Technique) fueron desarrolladas hacia 1950 con
el objetivo de modelar proyectos complejos, estimar su tiempo de
realizacin y analizar las consecuencias que sobre el conjunto tendra
una desviacin en una tarea.
Sesiones de Trabajo
Dependiendo del tipo de sesin que se realice, los objetivos pueden ser:
obtener informacin, comunicar resultados, reducir el tiempo de
desarrollo, activar la participacin de usuarios y directivos o aumentar la
calidad de los resultados. Las sesiones de trabajo pueden ser de varios
tipos en funcin de las personas que participen en ellas, el objetivo que
se persiga y el modo de llevarlas a cabo. Las entrevistas y las reuniones
son un tipo de sesiones de trabajo dirigidas a obtener la informacin.
Valoracin Delphi
La tcnica Delphi es un instrumento de uso mltiple adecuada para
Magerit que se utiliza con muy variados objetivos: Identificar problemas,
desarrollar estrategias para la solucin de problemas, fijando un rango
de alternativas posibles, identificar factores de resistencia en el proceso
de cambio, establecer previsiones de futuro sobre la evolucin de las
tendencias que se observan en un determinado campo o sector y
contrastar opiniones en un tema abarcando un amplio campo de
disciplinas o sectores
Bibliografa
Espaa, M. d.-G. (Octubre de 2012). Portal de Administracin Electrnica PAe.
Obtenido de TTULO: MAGERIT versin 3.0. Metodologa de Anlisis y
Gestin de Riesgos de los Sistemas de Informacin.:Libro 1 "Metodo"
http://administracionelectronica.gob.es/
Espaa, M. d.-G. (Octubre de 2012). Portal de Administracin Electrnica PAe.
Obtenido de TTULO: MAGERIT versin 3.0. Metodologa de Anlisis y
Gestin de Riesgos de los Sistemas de Informacin.:Libro 2 "Catalogo
de Elementos"
http://administracionelectronica.gob.es/
Espaa, M. d.-G. (Octubre de 2012). Portal de Administracin Electrnica PAe.
Obtenido de TTULO: MAGERIT versin 3.0. Metodologa de Anlisis y