Ir al contenido

Magerit (metodología)

De Wikipedia, la enciclopedia libre

Magerit (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) está elaborada por el Consejo Superior de Administración Electrónica del Gobierno de España para minimizar los riesgos de la implantación y uso de las Tecnologías de la Información, enfocada a las Administraciones Públicas. Actualmente está en su versión 3. Magerit ofrece una aplicación para el análisis y gestión de riesgos de un sistema de información.

Gestión de riesgos en Magerit v3

[editar]

Método de Análisis de Riesgos (MAR)

[editar]

El Método de Análisis de Riesgos (MAR) constituye el núcleo del enfoque de Magerit v3. Proporciona una estructura sistemática y bien definida para evaluar los riesgos asociados con los activos de información, las amenazas que los acechan y las vulnerabilidades presentes en los sistemas. El MAR se basa en una serie de pasos bien definidos, que incluyen la identificación y valoración de activos, la identificación y análisis de amenazas, la evaluación de vulnerabilidades y la estimación de riesgos. Este método permite a los profesionales de la seguridad tomar decisiones informadas y priorizar las medidas de protección necesarias para mitigar los riesgos identificados.

Proyectos de análisis de riesgos (PAR)

[editar]

Los Proyectos de Análisis de Riesgos (PAR) son implementaciones específicas del MAR en entornos concretos. Estos proyectos se llevan a cabo en organizaciones para evaluar los riesgos asociados con sus sistemas de información y establecer medidas de seguridad adecuadas. Los PAR se inician con la definición de los objetivos y alcance del proyecto, seguidos de la identificación y valoración de activos críticos, amenazas relevantes y vulnerabilidades existentes. A través de un enfoque sistemático, los PAR permiten identificar los riesgos más significativos y diseñar estrategias de mitigación adecuadas. Los resultados obtenidos de los PAR proporcionan una base sólida para la toma de decisiones en materia de seguridad.

Plan de Seguridad (PS)

[editar]

El Plan de Seguridad (PS) es el documento final que se deriva del proceso de análisis de riesgos y define las medidas de seguridad necesarias para proteger los activos de información de una organización. El PS se basa en los resultados obtenidos del análisis de riesgos y proporciona una visión clara de las acciones y controles de seguridad que deben implementarse. Incluye políticas, procedimientos, directrices y normas específicas que guían la gestión de la seguridad de la información en la organización. El PS se actualiza periódicamente para reflejar los cambios en el entorno tecnológico y las nuevas amenazas emergentes.

Los planes de seguridad pueden recibir diferentes nombres según el contexto y el enfoque específico de la organización. Algunos nombres comunes para los planes de seguridad son:

  • Plan de mejora de la seguridad de la información.
  • Plan Director de Seguridad.
  • Plan estratégico de ciberseguridad.
  • Plan de seguridad de la información digital.

En el contexto del Esquema Nacional de Seguridad (ENS) en España, el nombre específico utilizado para el plan de seguridad es Plan de Adecuación. El ENS establece los requisitos y directrices para la seguridad de la información en las administraciones públicas en España, y en este marco, se espera que las organizaciones desarrollen y mantengan un Plan de Adecuación que cumpla con los criterios establecidos en el ENS.

Herramientas comerciales

[editar]
  • GxSGSI: Herramienta de Análisis y Gestión de Riesgo basada en Magerit y homologada por la Agencia de la Unión Europea para la Ciberseguridad
  • R-Box: Herramienta de Análisis y Gestión de Riesgo basada en Magerit.
  • SECITOR: Herramienta de Análisis y Gestión de Riesgos de alto nivel que permite la gestión integral de la Seguridad de la Información siendo un sistema multimarco (ISO 27001, Protección de datos, ENS, ISO 19001, etc), además de una monitorización en tiempo real de la seguridad de la organización.
  • EAR / PILAR: Entorno de análisis de riesgos[1]

Véase también

[editar]

Referencias

[editar]
  1. «PILAR» Archivado el 30 de marzo de 2019 en Wayback Machine.- CCN-CERT

Enlaces externos

[editar]