MAGERIT

MAGERITMetodologa de anlisis y gestin de riesgos de los sistemas de informacin. Qu es?MAGERIT es la metodologa de anlisis y gestin de riesgos de los sistemas de informacin elaborada por el Consejo Superior de Administracin Electrnica, como respuesta a la percepcin de que en la Administracin, y, en general, toda la sociedad, dependen de forma creciente de las tecnologas de la informacin para el cumplimiento de su misin.Elementos BsicosActivosAmenazasVulnerabilidadesImpactosRiesgoSalvaguardas (funciones, servicios, mecanismo)ActivosLos Activos son los recursos del sistema de informacin o relacionados con ste, necesarios para que la organizacin funcione correctamente y alcance los objetivos propuestos por la direccin.

El Activo puede tener dos formas clsicas de valoracin, cualitativa y cuantitativa. La valoracin cualitativa corresponde a su valor de uso y la cuantitativa a su valor de cambio (cuando ste tienesentido para ciertos tipos de Activo).AmenazasLas amenazas se definen como los eventos que pueden desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus activos.VulnerabilidadesLa Vulnerabilidad de un Activo se define como la potencialidad o posibilidad de ocurrencia de la materializacin de una Amenaza sobre dicho Activo.ImpactoEl Impacto en un Activo es la consecuencia sobre ste de la materializacin de una Amenaza en agresin, consecuencia que puede desbordar ampliamente el Dominio y requerir la medida del dao producido a la organizacin. Visto de forma ms dinmica, Impacto es la diferencia en las estimaciones del estado (de seguridad) del Activo obtenidas antes y despus del evento de agresin.RiesgoEl riesgo es la posibilidad de que se produzca un impacto en un Activo o en el Dominio. SalvaguardaUna Funcin o un Servicio de salvaguarda es una accin genrica que reduce el Riesgo mientras que un Mecanismo de salvaguarda es el procedimiento o dispositivo, fsico o lgico, capaz de reducir el riesgo.

ObjetivosConcienciar a los responsables de los sistemas de informacin (dueos del proceso) de la existencia de riesgos y de la necesidad de atajarlos a tiempo.Ofrecer un mtodo sistemtico para analizar tales riesgos.ObjetivosAyudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.Apoyar la preparacin a la Organizacin para procesos de evaluacin, auditora, certificacin o acreditacin, segn corresponda en cada caso.VentajaLas decisiones que deban tomarse y que tengan que ser validadas por la direccin estarn fundamentadas y sern fcilmente defendibles.DesventajaPor el contrario, el hecho de tener que traducir de forma directa todas las valoraciones en valores econmicos hace que la aplicacin de esta metodologa sea realmente costosa.ConclusinLa seguridad de la informacin no es una responsabilidad nicamente del rea de tecnologa debe fluir desde la alta gerencia gerencia hacia todos los procesos de negocios.DIFERENCIA ENTRE:CobitMageritElaborado por:ISACAConsejo superior de administracin electrnica.Orientado:Control de procesos de informacin.Manejo de la seguridad de la informacin.Usuarios:Gerencia, usuarios finales, auditores, responsables TI.Gerencia y analista de riesgos.Responsable:Administracin.Administracin.Control interno es visto como:Conjunto de procesos, procedimientos.Conjunto de procesos.Objetivos organizacionales:Efectividad y eficiencia de las operaciones.Confidencialidad, integridad y disponibilidad.Confiabilidad.Anlisis y gestin de riesgos.Conocer, transmitir los aspectos de seguridad.Comprender su vulnerabilidad.Resultado de anlisis:CualitativoCuantitativoEtapas:Proceso de TI.Requerimiento del negocio.Declaracin de control.Prcticas de control.Planificacin.Anlisis de riesgo.Gestin de riesgos.Seleccin de salvaguardas.