Informe de Metodología Magerit y seguridad en las TI.

ÍNDICE

1. INTRODUCCIÓN         2
2. RESEÑA HISTÓRICA         3
3. MARCO TEORICO         3
4. OBJETIVO         4
5. METODOLOGÍA        4

1. Organización de las guías        5

1. Método        6
2. Catálogo de Elementos        6
3. Guías Técnicas        7

1. Técnicas para Análisis y Gestión de Riesgo        7

1. Método de Análisis de Riesgo        8

1. Documentación        9
2. Documentación Inmediata        9

5.2.3     Documentación Final        9

1. Proyecto de Análisis de Riesgo        10

1. Actividades Preliminares        11
2. Estudio de Oportunidad        11
3. Determinación del Alcance del Proyecto        11
4. Planificación del Proyecto        11
5. Lanzamiento del Proyecto        11

1. Elaboración del Análisis de Riesgo        12
2. Comunicación de Resultado        12

1. Documentación Resultante        12
2. Documentación Intermedia        12

1. Plan de Seguridad        13

1. Identificación de Proyectos de Seguridad        13
2. Plan de Ejecución        13

1. Proceso de Gestión de Riesgos        14

1. Determinación del Contexto        15
2. Identificación de los Riesgos        15
3. Análisis de Riesgo        16
4. Evaluación de los Riesgos        16
5. Tratamiento de los Riesgos        16
6. Comunicación y Consulta        16
7. Seguimiento y Revisión        16

1. Herramienta P.I.L.A.R.        16

5.81 Imagen de Análisis cuantitativo y cualitativo PILAR        17

1. CONCLUSIÓN        18
2. BIBLIOGRAFÍA        18

1. INTRODUCCIÓN

     Seguridad de la información es el desafío permanente de los informáticos.   Las compañías informáticas han promovido grandes avances tecnológicos, originando una revolución en el ámbito de las comunicaciones, los negocios y las organizaciones.  La globalización ha experimentado una interacción integral de los sistemas, que ha permitido  avances significativos en el área de la computación.

     Como en todo orden de cosas los seres humanos construyen y otros se concentran en destruir,  por supuesto el área de la informática no está exenta de este problema,  múltiples  peligros  acechan la información,  bloquear estos riesgos es el gran desafío de los sistemas informáticos que se sienten  vulnerables a las constantes amenazas, por lo que se trabaja tenazmente en disminuir el daño.

     En los últimos años los recursos humanos y técnicos han desplegados sus esfuerzos para resguardar y fortalecer los métodos y procesos que protejan los sistemas y entregar a los usuarios mayor seguridad.

El uso de estas tecnologías debe ayudarnos a proteger la privacidad de los datos, la propiedad intelectual y el cumplimiento normativo permitiendo en todo momento advertir sobre el acceso a información protegida y, en caso necesario, el bloqueo de las acciones realizadas, si existe incumplimiento de las políticas de seguridad de la empresa o de los derechos digitales.

Con el desarrollo de las tecnologías de información y su relación directa con los objetivos de las organizaciones, el universo de amenazas y vulnerabilidades crece, por lo tanto es necesario proteger uno de los activos más importantes de la organización, la información, garantizando siempre la disponibilidad, confidencialidad e integridad de la misma. La forma más adecuada para proteger los activos de información, es mediante una correcta gestión de análisis de riesgo, para así identificar y focalizar esfuerzos hacia aquellos elementos que se encuentran más expuestos, sin embargo debemos tener presente que ningún sistema es infalible, ya que así como la tecnología avanza, también surgen nuevas amenazas, afortunadamente  existen medidas de seguridad que permiten evitar daños  causados por gente  maliciosa que hace mal uso de la información, motivo por el cual, han surgido numerosas leyes, estándares y normas ISO 27.001-27.002, con el fin de prevenir  ataques y mitigar riesgos.

El presente informe  reúne información  acerca del funcionamiento, implementación y utilidad que presta una  metodología de  análisis de gestión de riesgos, en este caso MAGERIT.

Magerit es el acrónimo de “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones  Públicas”, creado por el Consejo Superior de Administración Electrónica (CSAE). El uso de esta metodología es de carácter público, pertenece al Ministerio de Administraciones Públicas (MAP) de España.

Magerit está elaborado y  dirigido a los medios electrónicos, informáticos y telemáticos, ya que su uso en la actualidad es frecuente, lo cual ha dado lugar al origen de ciertos riesgos que se deben evitar con medidas preventivas para lograr la confianza necesaria.

“No es posible una aplicación racional de medidas de seguridad sin antes analizar los riesgos, para así implantar medidas proporcionadas a estos riesgos, al estado de la tecnología y a los costos”.29

“La Metodología de Análisis y Gestión de Riesgos de los sistemas de Información de las Administraciones públicas, Magerit, es un método formal para inverstigar los riesgos que soportan los Sistemas de Información, y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos” 30

_______________________________________________________________________________________________________________________________________________________

29 Paredes Fierro, Geomayra Alexandra, Vega Noboa, Mayra Alexandra, Desarrollo de una Metodología para la Auditoría de Riesgos Informáticos y su aplicación al Depto. de Informática de la Provincia de Pichincha del Consejo de la Judicatura. Tesis Escuela Superior Politénica de Chimborazo, Riobamba, 2011.

30 Definición de necesidades en términos de seguridad informática. http://www.coit.es/publicac/publbit/bit128/bitcd1/legisla/pg5m21.htm

1. DEFINICIÓN

¿QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN?

Cuando hablamos de seguridad de la información estamos indicando que dicha información tiene una relevancia especial en un contexto determinado y que, por tanto, hay que proteger.

La Seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, interrupción o destrucción no autorizada.

Esta  se define  como el  conjunto de medidas técnicas, organizativas y legales que permiten a la organización asegurar la confidencialidad asegurando  que sólo  quienes estén autorizados pueden acceder a la información , integridad  asegurando que la información y sus métodos de proceso son exactos y completos  y disponibilidad asegurando que los usuarios autorizados tienen acceso a  su sistema de información .

Conviene aclarar que la seguridad absoluta no es posible, no existe un sistema 100% seguro, de forma que el elemento de riesgo está siempre presente, independiente de las medidas que tomemos, por lo que se debe hablar de niveles de seguridad.

La información es un recurso que, como el resto de los activos, tiene valor para la institución y  por consiguiente debe ser debidamente protegida. 

El establecimiento, seguimiento, mejora continua y aplicación de la Política de Seguridad de la información garantiza un compromiso ineludible de protección de a la misma frente a una amplia gama de amenazas de esta manera ayuda a minimizar los riesgos asociados de daño y se asegura el eficiente cumplimiento de las funciones sustantivas de la entidad apoyadas en un correcto uso de la información.

Cada empresa debe establecer mecanismos para respaldar la difusión, estudio, actualización y consolidación de las políticas y alinearlos con los otros sistemas.

1. PROBLEMAS QUE AFECTA A LA SEGURIDAD DE LA INFORMACIÓN

1. EN UNA EMPRESA

Cada vez las empresas tienden a estar más comunicadas entre si tanto con otras empresas como con sus clientes, esto ha motivado a una gran transmisión constante de  información es ahí donde se generan problemas de seguridad.

El mayor problema de seguridad de las empresas son los empleados que muchas veces carecen de preparación para el manejo de información. Muchas veces los empleados generan  grandes pérdidas de información sin siquiera saberlo debido a la falta de cultura que existe en ellos, un ejemplo de esto es la utilización del internet de la empresa para fines personales como es la entrada sitios web que nada tienen que ver con la actividad que desempeñan. Muchas de las páginas web que existen en internet no son seguras o enlazan a sitios que pueden tener contenido malicioso como virus  informáticos llamados  malware (códigos maliciosos) que tiene por objeto alterar el normal funcionamiento de un computador sin el permiso o conocimiento del usuario. Estos virus se crean del mismo modo que cualquier programa. Son series de instrucciones que ordenan a los computadores que hacer, contiene órdenes específicas para modificar los programas que contiene el computador.

...