MAGERIT: ¿Sí, o no?

Según parece, el Consejo de Ministros ha aprobado el Esquema Nacional de Seguridad para la administración electrónica del que tanto hemos hablado últimamente (véase I, II y III). El artículo 13 de la primera propuesta de dicho esquema, que aparece referenciado en la página del Esquema Nacional de Seguridad, dice así:

Artículo 13. Análisis y gestión de los riesgos.

1. Cada organización que desarrolle e implante sistemas para el tratamiento de la información y las comunicaciones realizará su propia gestión de riesgos.

2. Esta gestión se realizará por medio del análisis y tratamiento de los riesgos a los que está expuesto el sistema. Sin perjuicio de lo dispuesto en el anexo II, se empleará alguna metodología reconocida internacionalmente.

3. Las medidas adoptadas para mitigar o suprimir los riesgos deberán estar justificadas y, en todo caso, existirá una proporcionalidad entre ellas y los riesgos.

A la vista de esto, y teniendo en cuenta en particular el texto resaltado en negrita…

[poll id=»19″]

Comments

  1. Como suele ocurrir con la redacción jurídica de elementos técnicos, ¿Qué significa «Reconocida internacionalmente»? ¿Que sale en la Web de ENISA? ¿Qué cumple con la ISO 27005?
    En fin, tengo claro es que Magerit no me gusta en la parte de «gestión del riesgo» y por tanto, prefiero utilizar otras cosas…

  2. Este artículo me recuerda al último reglamento de la LOPD y sus particular estilo de dejar las cosas sin definir…

  3. Antonio Huerta says

    Es lo que tiene las leyes… la ambiguedad y la humareda…

    A mi personalmente me gusta Magerit y PILAR, coinicido con Javier en que la parte de gestión de riesgos la veo menos lograda, pero bueno es como todo, depende de por donde lo mires.

  4. La herramienta que utilizo aporta más cordura al tema y está montada para la gestión. Yo siempre pongo el mismo ejemplo. El análisis del riesgo es como cuando el paciente va a ver a House. De la visita interesan dos cosas pero una pesa más que la otra. Lo primero, que seas lo que tienes que ya es un milagro pero lo siguiente, es salir del hospital andando.

    A nosotros nos posibilita hacer análisis de riesgos relativamente rápidos, muy flexibles a cambios dado que cualquier cambio no supone ningun drama y sobre todo, determina el conjunto de soluciones a aplicar por activo. Algo mucho más próximo a la realidad que lo que hace EAR/PILAR. Eso de que si estableces que el antivirus está en un L4 significa que «todos los activos amenazados» están en en ese nivel de madurez es bastante irreal. Las soluciones se aplican a elementos concretos y se requiere saber el estado de cada medida por activo.

    Además, la gestión no deja de ser una tradicional asignación de recursos/plazos/responsables, el supuesto plan que puede llevarse con una tradicional gestión de proyectos. En nuestro caso, la herramienta selecciona según el tipo de activo,amenaza y serevidad, las soluciones más recomendables aplicando el principio de proporcionalidad y buscando siempre identificar en qué elementos concretos.

    No estaría mal que hubiera algún tipo de reunión técnica de intercambio de opiniones donde pudieramos expresar cada uno nuestros mejores trucos en la resolución de problemas, como suelen hacer los médicos para intercambiar experiencias y conocimientos en pro de mejorar sus servicios.

  5. Antonio Huerta says

    Si como tu comentas la gestión de riesgos esta un poco cogida con pinzas de todas maneras en PILAR si que permite aplicar una medida concreta a un activo concreto si bien es bastante engorroso, mi consejo para la gestión de riesgos con pilar es echar mano de los perfiles que proporciona la aplicación por ejemplo el de 27002 desplegar a nivel de control y aplicar el grado de madurez, realmente no llega al punto de decir le vamos a poner un SAI, un grupo electrogeno y tal… aunque si desplegas mas se puede poner, pero esto sirve porque muchas veces al hacer un GAP de la 27002 lo que presentamos al cliente es un evolucion del grado de madurez de los controles.

    Por otra parte, yo soy partidario de emplear hasta el analisis de riesgos, PILAR y una vez realizado la gestion de riesgos llevarla con un plan de tratamiento de riesgos en el que se consesuen con el cliente las soluciones que aportar y que son viables, en ese punto creo que necesitas un grado de flexibilidad bastante grande que no se hasta que punto te proporcionara tu herramienta, creo que hay la experiencia del consultor es lo indicar las medidas a implantar (por ejemplo no creo que la herramienta te diga vamos a clusterizar el apache en 2 server y vamos a tenerlo en alta disponibilidad mediante heartbeat, o vamos a virtualizar con wmware Ha, bla, bla, bla), entonces lo que a mi me parece correcto con pilar es crear otra fase del analisis de riesgos en el que cambien las frecuencias de las amenazas al introducir las medidas. De este modo se refleja la gestion de riesgos y por otra parte tienes un plan de tratamiento de riesgo personalizado y mimado para cada cliente.

    Tambien hay que pensar que en muchas administraciones publicas, PILAR es la herramienta de analisis de riesgos de facto

  6. Estoy contigo Javier en cuanto a lo del foro o reunión técnica y de intercambio de opiniones en relación con este tema. Sería interesante en otros ámbitos también, pero creo que es precisamente en materia de análisis y gestión de riesgos donde quizás existe menos «orden» y más disparidad de criterios, metodologías y estándares o pseudoestándares.

  7. Creo que me he dejado una opción fuera:

    – ¿Qué significa eso de «reconocida internacionalmente»? ¿Por quién y en qué medida?

  8. Maria Algarra says

    Javier Cao, que herramienta de análisis de riesgos usas?

  9. Esa es la pregunta que todos estábamos deseando hacer :^) (y la respuesta lo que queremos oír)

  10. Rodrigo Bonadeo says

    Pregunta para quien haya votado la que hasta ahora es la opción mayoritaria (MAGERIT sí está reconocida internacionalmente) ¿En qué basáis vuestra opinión?

  11. Hay un debate muy interesante en LinkedIn acerca de MAGERIT:

    http://www.linkedin.com/newsArticle?viewDiscussion=&articleID=104157980&gid=911287

Trackbacks

  1. […] de este Blog, el ínclito Manuel Benet, nos sorprendió con una nueva entrada que titulaba “MAGERIT: ¿Sí, o no?“, donde transcribía el artículo 13 del aún por entonces no publicado Esquema Nacional de […]