31 agosto 2008

MAGERIT


MAGERIT es el nombre árabe que tenía la antigua Madrid, pero también el acrónimo de la Metodología de Análisis y Gestión de Riesgos de IT (del inglés, Information Technologies) creada por el Ministerio de Administraciones Públicas español con el fin de sistematizar el análisis y la gestión de riesgos en el marco de la Administración. Sirve para realizar los pasos delineados en mi anterior artículo sobre análisis de riesgos pero siguiendo una serie de pasos determinados y concretados en la metodología, así en vez de que cada responsable de seguridad haga un análisis de riesgos a su manera se usará un método común de manera que no haya lugar para la improvisación ni para la arbitrariedad del analista. Este enfoque tiene la ventaja de la interoperabilidad que ofrece con otros actores. Por un lado las empresas conocerán al detalle el método que se va a usar, por lo que podrán realizar ofertas más personalizadas para colaborar en alguno de los pasos. Por otro lado, este marco común de análisis de riesgos facilita la realimentación de los resultados y conclusiones en otras organizaciones de la Administración al basarse el método en una estructura que todos conocen.

MAGERIT se basa en tres libros. Concretamente:
  • Método: Establece los conceptos básicos. Las tareas clave a realizar y la documentación resultante.
  • Catálogo: Se trata de una lista de elementos estándar de manera que se cuente con una nomenglatura común a todos los proyectos de análisis y gestión de riesgos donde se aplique MAGERIT. Así, se enumeran: tipos de activos, dimensiones de valoración de los activos, criterios de valoración de los activos, amenazas típicas sobre los sistemas de información y salvaguardas a considerar a la hora de proteger los sistemas de información.
  • Guía de técnicas: Explica una serie de técnicas útiles para cada uno de los pasos en los que se compone la metodología.
El libro sobre el Método es el más didáctico de todos y presenta unas definiciones de los activos, amenazas, riesgos, impactos, etc similares a las dadas en mi anterior artículo. Añade a las ya clásicas dimensiones de la seguridad (Confidencialidad, Integridad, Disponibilidad y Autenticidad) una nueva, la Trazabilidad, por la cual resulta indispensable establecer mecanismos que permitan saber quién presta los servicios y accede a los datos. Tiene bien presente la problemática que introduce en la valoración la interdependencia de los activos. Esto último le lleva definir dos tipos nuevos de impacto:
  • Impacto acumulado: Es el calculado en función de las amenazas a las que está expuesto el activo y en función del valor de dicho activo más el de los que dependen de él. Sirve para determinar qué pasaría si un activo cayese, por lo que resulta extremadamente útil para determinar qué puntos son prioritarios a la hora de establecer salvaguardas.
  • Impacto repercutido: Se calcula en función de su valor propio y de las amenazas a las que están sometidos los activos de los que depende. Sirve para determinar como le afectaría a un activo la caída de otros. Se utiliza a la hora de establecer los riesgos residuales.
Todas estas valoraciones son importantes ya que, como se puede ver en la figura, la implantación de salvaguardas permite reducir los riesgos a los que se ven sometidos los activos de la organización, lo que sirve para evitar los costes que suponen los impactos de las amenazas más frecuentes. Sin embargo si se busca obsesivamente la seguridad intentando evitar las amenazas menos frecuentes los costes de la organización se disparan por el esfuerzo necesario para establecer las salvaguardas. Si lo que se busca es reducir los costes económicos a los que se ve sometida la organización, se tratará de encontrar un punto de equilibrio, representado en la gráfica por el mínimo del coste total. Sin embargo hay organizaciones que no se pueden guiar (o no deberían) por el coste económico, por ejemplo en lo que se refiere a sistemas militares, por lo que tenderán al grado máximo de seguridad, aunque ello suponga disparar los costes monetarios.

El libro sobre el Método divide el Análisis y la Gestión del Riesgo (AGR) en tres procesos:
  • Planificación: De los medios materiales y humanos destinados a la realización del AGR, el ámbito del análisis y los plazos a los que se ceñirá.
  • Análisis de Riesgos: Valoración de los diferentes elementos (activos, amenazas y salvaguardas) y de sus interdependencias (riesgos, impactos y eficacia de las salvaguardas).
  • Gestión del Riesgo: Se elige entre las distintas opciones de salvaguarda identificadas en el proceso de Análisis. Se elabora el plan de seguridad y se prepara su implantación.
MAGERIT divide cada uno de estos procesos en una serie muy detallada de actividades, y estas a su vez en tareas, llegando incluso a determinar los productos de entrada y de salida de cada una de esas tareas, así como las técnicas aplicables a cada una de ellas.

Por último, no hay que olvidar MAGERIT está pensada para utilizarse conjuntamente con los Criterios de Seguridad, Normalización y Conservación, para los amigos Criterios SNC, y con la herramienta PILAR. Los Criterios SNC no son sino un recetario de buenas prácticas a la hora de plantear el desarrollo, despliegue y explotación de sistemas con el fin de mejorar su seguridad, integridad e interoperabilidad. Es un documento bastante interesante y, sobre todo, muy concreto y realista y debería ser de lectura obligada para cualquier ingeniero de seguridad que se precie independientemente de que trabaje para la Administración o no. En cuanto a PILAR es la herramienta automatizada de análisis de riesgos utilizada en la Administración española. Desgraciadamente, el uso de PILAR está restringido ya que el Centro Criptológico Nacional, responsable de la gestión de las licencias de PILAR, sólo las concede a las entidades de la Administración.