INTRODUCCION

Uno de los principales procesos que se llevan a cabo para proteger la información de una entidad u organización, es la identificación, analisis y manejo de los riesgos, para ello se deben tener claro conceptos como amenaza, vulnerabilidad, riesgo, salvaguarda y control.

 http://www.isotools.org/wp-content/uploads/2014/05/blog-general_281.jpg

Amenaza: es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un daño (material o inmaterial) sobre los elementos de un sistema.

http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/

Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización. 
Magerit V3. Metodologia de analisis y gestión de riesgos de los sitemas de información. Libro 1-Metodo.

Vulnerabilidad: es la capacidad, las condiciones y características del sistema mismo (incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de sufrir algún daño. http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/

Control (Salvaguarda): son las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. Control es también utilizado como sinónimo de salvaguarda o contramedida. En una definición más simple, es una medida que modifica el riesgo. ISO/IEC 27000 - http://www.iso27000.es/iso27000.html

Existen diferentes metodologías para el análisis de los riesgos, desarrolladas por diferentes estamentos o agremiaciones al rededor del mundo (Francia, Noruega, Reino Unido, EEUU, España), ,en este blog trataremos algunas de ellas y sus principales beneficios.

La decisión de aplicar alguna de estas metodologías, podría basarse en el tamaño de la organización, ya que algunas de ellas tiene versiones especificas o simplificadas que se adaptan de una mejor manera, como también el desarrollo de aplicativos para su uso.

MAGERIT V.3

Esta metodología fue creada por el Consejo Superior  de Administración electrónica adscrito al Ministerio de Hacienda y Administraciones Públicas del Gobierno de España, la versión 3 se dio a conocer en octubre del año 2012 y se encuentra publicada en el portal de administración electrónica. http://administracionelectronica.gob.es/

Esta metodología es aplicada a nivel gubernamental, pero no quiere decir que no pueda ser funcional para empresas que no pertenezcan al sector gobierno.

Magerit se compone de 3 libros:

Libro 1 – Método: Se encuentran los pasos en que esta metodología gestiona los riesgos, y toma como base la ISO 31000 estándar para la gestión del riesgo.

Libro 2 – Catálogo de elementos: Ayuda con la identificación de activos, valoración de activos por dimensión y criterios, diferenciación de amenazas dependiendo su origen y la tipificación de algunas salvaguardas. Como lo dice en uno de sus objetivos es un libro que facilita la labor de las personas que se encargan del análisis de riesgos.

Libro 3- Guía de Técnicas: Describe las diferentes técnicas utilizadas para el análisis y gestión de riesgos, técnicas como: tablas, algoritmos, árboles de ataque, histogramas, sesiones de trabajo (entrevistas, reuniones) y valoración Delphi.

De esta metodología se puede destacar la división por activos de la organización, esta división permite identificar muchos más riesgos, ya que se atacan diferentes grupos de activos, así mismo se pueden definir controles o salvaguardas más específicos.

Como su nacimiento fue por la necesidad de mitigar los riesgos asociados a la masificación del uso de la tecnología de la información en los servicios prestados a una comunidad, pienso que es una buena metodología para ser desarrollada y aplicada para los organismos que cumplen esta función ya sean estatales o cumplan una función privada. 

El hecho de que se encuentre totalmente en idioma español hace más fácil su uso en países hispanoparlantes.

http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.VIOwQU0g_IU