Análisis de riesgos con MAGERIT en el ENS (I)

Tras la introducción a las distintas metodologías de análisis de riesgos realizadas en anteriores publicaciones (ver parte I y parte II), vamos a profundizar en una de aquellas metodologías, en concreto en MAGERIT. Nuestro objetivo va a ser verificar que MAGERIT en su versión 2 cumple con los requisitos establecidos por el Esquema Nacional de Seguridad (ENS en adelante).

¿Por qué el ENS requiere un análisis de riesgos?

En primer lugar me gustaría introducir al lector en el papel que el análisis de riesgos desempeña en la implantación del ENS. La gestión de riesgos queda identificada como uno de los principios básicos del ENS definidos en el artículo 4. Este principio se desarrolla en el artículo 6, detalla la gestión de la seguridad basada en el riesgo:

Artículo 6. Gestión de la seguridad basada en los riesgos.

1. El análisis y gestión de riesgos será parte esencial del proceso de seguridad y deberá mantenerse permanentemente actualizado.

2. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando lo riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a los que estén expuestos y las medidas de seguridad.

¿Qué debe contemplar el análisis y gestión de riesgos de acuerdo con el ENS?

Los aspectos requeridos así como la forma de acometer el análisis de riesgos depende directamente de la categorización del sistema objeto de estudio, quedando reflejado en el punto 4.1.1 Análisis de riesgos dentro del Anexo II Medidas de seguridad.


4.1.1 Análisis de riesgos

Categoría BASICA

Bastará un análisis informal, realizado en lenguaje natural. Es decir, una exposición textual que describa los siguientes aspectos:

a) Identifique los activos más valiosos del sistema.

b) Identifique las amenazas más probables

c) Identifique las salvaguardas que protegen de dichas amenazas

d) Identifique los principales riesgos residuales

Categoría MEDIA

Se deberá realizar un análisis semi-formal, usando un lenguaje específico, con un catálogo básico de amenazas y una semántica definida. Es decir, una presentación con tablas que describa los siguientes aspectos:

a) Identifique y valore cualitativamente los activos más valiosos del sistema

b) Identifique y cuantifique las amenazas más probables

c) Identifique y valore las salvaguardas que protegen de dichas amenazas

d) Identifique y valore el riesgo residual

Categoría ALTA

Se deberá realizar un análisis formal, usando un lenguaje especifico, con un fundamento matemático reconocido internacionalmente. El análisis deberá cubrir los siguientes aspectos:

a) Identifique y valore cualitativamente los activos más valiosos del sistema

b) Identifique y cuantifique las amenazas posibles

c) Identifique las vulnerabilidades habilitantes de dichas amenazas

d) Identifique y valore las salvaguardas adecuadas

e) Identifique y valore el riesgo residual

¿Sirve MAGERIT para llevar cabo análisis de riesgos valido para el ENS?

MAGERIT es una metodología desarrollada a nivel nacional por y para Administraciones Publicas. Desde la propia Dirección General para el Impulso de la Administración Electrónica identifican MAGERIT como una metodología válida para la realización de análisis de riesgos en el ámbito del Esquema Nacional del Seguridad. No obstante, esta cuestión fue tratada y contrastada detalladamente con anterioridad en este mismo blog.

¿Cómo define MAGERIT el proceso de análisis de riesgos?


A la hora de llevar a cabo un proyecto de análisis y gestión de riesgos de acuerdo con MAGERIT se proponen 3 etapas diferenciadas:

1. Planificación del proyecto

2. Análisis de riesgos

3. Gestión de riesgos

A continuación vamos a detallar la primera de estas etapas, dejando las otras dos para la siguiente entrada:

1. Planificación del proyecto

La planificación de un proyecto de análisis y gestión de riesgos, no difiere en gran medida de la de cualquier proyecto TI y en este sentido parece oportuno hacer hincapié en el principal aspecto reseñable con respecto al ENS, la definición del ALCANCE. Para la realización de un análisis de riesgos, el requisito inicial es establecer el alcance del mismo, es decir los procesos de negocio que van a ser objeto del análisis de riesgos así como los sistemas de información que los tratan.

En lo que se refiere a Administraciones Públicas y más concretamente en el ámbito del ENS, el alcance al que una administración viene definido en el propio ENS como: la seguridad electrónica de los sistemas que tratan información de las Administraciones públicas en el ámbito de la Ley 11/2007, de 22 de junio. En tal caso debemos recurrir a la Ley 11/2007 para establecer el alcance al que debe acogerse, que afirma en su artículo 1 [5]: La presente Ley reconoce el derecho de los ciudadanos a relacionarse con las Administraciones Públicas por medios electrónicos y regula los aspectos básicos de la utilización de las tecnologías de la información en la actividad administrativa, en las relaciones entre las Administraciones Públicas.

De esto se puede extraer la siguiente conclusión: el alcance al que debe ceñirse una Administración Pública viene impuesto por los servicios administrativos prestados al ciudadano en el ámbito de la LAECSP a través de las tecnologías de información, lo que incluye los propios servicios y los sistemas de información subyacentes.

En la próxima entrada veremos las etapas del Análisis de riesgos y Gestión de riesgos. Siéntanse libres de realizar cualquier pregunta o comentario.