Esquema Nacional de Seguridad: ¡MAGERIT reconocida!

El pasado 18 de enero, nuestro compañero y “alma mater” de este Blog, el ínclito Manuel Benet, nos sorprendió con una nueva entrada que titulaba “MAGERIT: ¿Sí, o no?“, donde transcribía el artículo 13 del aún por entonces no publicado Esquema Nacional de Seguridad (ENS), y sometía la cuestión a una encuesta informal.

Para los que no conozcan el tema, en España, especialmente en las Administraciones Públicas, tenemos un referente indiscutible en el ámbito de la Seguridad de la Información cuando nos planteamos la metodología de análisis y gestión de los riesgos a seguir: MAGERIT, actualmente en su versión 2.0 y elaborada por el Consejo Superior de Administración Electrónica (CSAE), órgano del Ministerio de Administraciones Públicas encargado de la preparación, elaboración, desarrollo y aplicación de la política informática del Gobierno Español.

Por otro lado, el Esquema Nacional de Seguridad (ENS), Real Decreto 3/2010 de 8 de enero (BOE de 29 de enero), tiene por objetivo establecer la política de seguridad en la utilización de medios electrónicos, y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información en el ámbito de acceso electrónico de los ciudadanos a los Servicios Públicos.

Volviendo al tema en cuestión, en el área de consultoría de S2 Grupo teníamos nuestro pequeño debate acerca de porqué en el ENS no se aconsejaba directamente el uso de MAGERIT, ni se mentaba implícitamente. Quizás la respuesta estaba en un explícito reconocimiento internacional. Así pues, decidimos investigarlo buscando referencias en ámbitos superiores y encontramos alguna referencia en ENISA (European Network and Information Security Agency) que la identifica junto a otras metodologías europeas e internacionales. Encontramos múltiples referencias en la documentación electrónica accesible de esta agencia, donde cabría destacar una ficha en la que se afirma que su extensión geográfica va más allá de los miembros de la UE y que cumple con determinadas normas nacionales e internacionales. Sin embargo, por otro lado, en el “Inventory of Risk Management / Risk Assessment Methods“, afirma que hay métodos que fueron excluidos deliberadamente de la encuesta, porque los documentos pertinentes no estaban disponibles para los miembros del grupo de trabajo (por ejemplo MAGERIT desde España).

Esta referencia nos dejó estupefactos por las consecuencias que ello pudiera tener. Trabajamos con clientes en las distintas administraciones públicas, donde utilizamos esta metodología, incluso en el sector privado, y su grado de aceptación e implantación es muy alto. Por tanto, valoramos las oportunidades de dirigirnos a personalidades que son referencias en nuestro negocio, por lo que decidimos pensar bien cómo plantear la pregunta y dirigirla, en principio, a quien publicaba el ENS: el Consejo Superior de Administración Electrónica (CSAE), a través de su dirección de contacto (secretaria.csae [en] map [punto] es).

La contestación nos ha agradado mucho, en especial porque la contestaba personalmente Miguel A. Amutio Gómez, Jefe de Área de Planificación y Explotación de la Dirección General para el Impulso de la Administración Electrónica del Ministerio de la Presidencia. Como verán, es suficientemente esclarecedora y no veo oportuno comentarla ni resumirla. Tras solicitar el preceptivo y oportuno permiso para publicarla, aquí la tienen.

Estimado Sr. Verdú,

En primer lugar le agradecemos el interés de su empresa por las actuaciones del Consejo Superior de Administración Electrónica y, en particular, por MAGERIT, la metodología de análisis y gestión de riesgos de los sistemas de información.

Efectivamente, como ha podido ver, el análisis y gestión de los riesgos se encuentra presente a lo largo del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, con el fin poder dar satisfacción al principio de proporcionalidad en la adopción de las adecuadas medidas de seguridad. Aunque MAGERIT no se cita de forma explícita en el citado Real Decreto, constituye uno de los instrumentos que han de facilitar la implantación y aplicación del Esquema Nacional de Seguridad y se contempla su mantenimiento y refuerzo a través de herramientas que faciliten su aplicación práctica.

MAGERIT es una metodología de uso público, cuyo texto se encuentra completamente disponible en español y parcialmente en inglés e italiano. Cuenta con reconocimiento internacional en diversos foros (OTAN, el catálogo de métodos de análisis de riesgos de la agencia europea ENISA).

En cuanto a la referencia que figura en la página web de ENISA, se trata de un aserto correspondiente a un estudio de hace tiempo, momento en aquel entonces en el que el texto de MAGERIT no se encontraba disponible en inglés y que quedó como una foto fija del momento; aserto que no nos pareció válido entonces por injusto (pues su motivación derivaba solamente del hecho de ser una metodología en español que no comprendían los consultores que hicieron el trabajo) y que no lo es de ninguna forma desde el momento en que tuvieron conocimiento del contenido de MAGERIT en inglés y en que se incluyó MAGERIT en la relación de métodos de análisis y gestión de riesgos, como se puede ver efectivamente en http://rm-inv.enisa.europa.eu/methods_tools/m_magerit.html (página que sin embargo, se encuentra actualizada, pues recoge la disponibilidad en italiano que es de finales de 2009).

En cualquier caso dicho aserto, mantenido hoy en día en la citada página es una falsedad que, gracias a su advertencia hemos puesto de manifiesto a la ENISA con el ruego de que lo rectifiquen; esta entidad nos ha contestado que se ha comprometido a revisar dicha página y a retirar la citada referencia a MAGERIT, falsa e injusta. Finalmente, les agradecemos de nuevo su interés por MAGERIT y que nos hayan advertido de la citada referencia a MAGERIT en la página web de la ENISA.

Quedamos a su disposición para cualquier ampliación o aclaración.

Reciban un cordial saludo,

Miguel A. Amutio Gómez
Jefe de Área de Planificación y Explotación
Dirección General para el Impulso de la Administración Electrónica
Ministerio de la Presidencia

Desde aquí, agradecer a Miguel A. Amutio su respuesta y el honor de hacernos partícipes de esta aclaración. Ahora le toca a nuestras administraciones ponerse manos a la obra en la implantación de ese necesario y ambicioso proyecto que es el Esquema Nacional de Seguridad. Por lo demás, nosotros nos vamos hasta el lunes; sean felices y pasen un buen fin de semana.

Comments

  1. Muchas gracias, por esta aportación, precisamente me estaba haciendo esa pregunta.

    Reitero muchas graciasª!!!!!

    Patricia

  2. Ignatius Reily says

    Magerit mola y aunque la gestión de riesgos este pichi pacha Pilar tambien (aunque mola mas Pilar Rubio :) ) y los que digan que no es porque quieren vender su herramienta de analisis de riesgos.

  3. Creo que es importante diferenciar entre “Metodología” y “Herramienta de aplicación”. Además, todo método no deja de ser una secuencia estructurada de fases, tareas, acciones que deben propiciar unos resultados.

    Por tanto, creo que cualquiera que defina su propia metodología y lo haga en base a un criterio “reconocido internacionalmente” (o sea, al menos que pueda verificarse que su propio método cumple con la ISO 27005) podrá decir que cumple los requisitos establecidos por la medida op.pl.1 Análisis de riesgos del R.D. 3/2010.

    No se establece ningún criterio para determinar qué métodos son buenos o malos y aunque ENISA ha hecho un esfuerzo por identificar y catalogar, no existen requisitos que establezcan que es el criterio de valoración de ENISA el válido para establecer ese reconocimiento internacional. Entiendo razonables las dudas sobre Magerit porque es una metodología anterior a ISO 27005 pero estaba bien parida y ha aguantado el paso del tiempo.

    En cualquier caso, si leemos detenidamente op.pl.1 del R.d. 3/2010 para los niveles altos, se dice explicitamente:
    “Se deberá realizar un análisis formal, usando un lenguaje específico, con un fundamento matemático reconocido internacionalmente”.

    Las metodologías sencillas que valoran impacto cualitativamente (valores de 0 a 5) y vulnerabilidad (de 1 a 3) y usan como fundamento matemático la función producto o suma Riesgo= Impacto x/+ Vulnerabilidad y los valores se obtienen en base a una matriz, entiendo que no tendrán problemas.

    Pero… ¿y EAR/Pilar? ¿Cuales son las ecuaciones que generan esos riesgos decimales?