sábado, 5 de noviembre de 2005

MAGERIT 2.0: Primeras impresiones

Ya comente en septiembre cuando hablaba del proceso normalizador entorno a la seguridad y las novedades del Web del Ministerio de Administraciones Públicas que por fín había aparecido la versión 2.0 de MAGERIT, la Metodología para en análisis y la gestión del riesgo de los sistemas de información.

MAGERIT fue mi bautismo en esta materia de la seguridad, al ser el primer trabajo/proyecto profesional que tuve que realizar. En aquel momento, allá por el año 1999, tuve el gusto de probar aquella nueva metodología en un entorno real y complejo como parte de un proyecto piloto del departamento de Ingeniería del Software de la Universidad de Murcia.

Para no enrollarme mucho, voy a destacar las principales novedades de MAGERIT 2.0 dado que ya estamos utilizándola en los servicios de consultoría estratégica de seguridad de Firma, Proyectos y Formación.

Principales novedades y mejoras:
- La metodología mejorada: deja de ser algo teóricamente interesante para bajar a la arena y ser algo práctico, rápido y útil. Un análisis y gestión de riesgos (en adelante ARG) debe ser relativamente rápido de hacer principalmente porque si no puede "nacer muerto". No podemos realizar un estudio de esta envergadura en donde se identifiquen activos que al finalizar el proyecto han dejado de existir. El sentido del AGR es hacer una foto del estado y requisitos de seguridad de la organización. Los activos sustanciales es raro que cambien debido a que están muy ligados a los procesos de negocio. Sin embargo, los activos relacionados con las Tecnologías de la Información si pueden cambiar más frecuentemente. La nueva metodología solo tiene tres fases: planificación, análisis y gestión.

-Los conceptos de seguridad están más claros: Se han identificado y catalogado todos los activos posibles. El concepto de "propiedades del estado de la seguridad" se ha cambiado por el de "dimensiones de la seguridad". A estas dimensiones, que tradicionalmente siempre se han considerado como confidencialidad, integridad y disponibilidad (C-I-D), se añaden la autenticación de usuarios, autenticación de datos,la trazabilidad de usuarios y la trazabilidad de datos. Estas dos últimas propiedades van a ser muy necesarias en la futura Administración Electrónica dado que garantizan el saber quien, cuando, como y qué se ha hecho en un proceso telemático. Además, se introduce sobre la disponibilidad otra novedad interesante. Las dimensiones pueden ser escalonadas. Esta claro que cuando hablamos de un incidente relacionado con la confidencialidad o la integridad, son propiedades de "Todo o nada". Si una información se compromete, ya su confidencialidad se ve afectada. Sin embargo, con la disponibilidad podemos tener umbrales o intervalos en donde los incidentes pueden no ser significativos. No es lo mismo pensar en un servicio no disponible durante una hora, que durante un día o una semana. Por tanto, este matiz es muy importante porque permite saber cuanto tiempo se puede aguantar sin que el incidente sea significativo.



-Mejorado el modelo de elementos: otro de los problemas de MAGERIT 1.0 viene en el momento de la estimación de valores. La valoración de las amenazas y las vulnerabilidades puede llevar a confusión si no se aclaran al entrevistado bien estos conceptos. Ahora en este nuevo modelo, tenemos que valorar la probabilidad de ocurrencia de una amenaza y el daño o degradación que causa. Es más sencillo de ver y estimar.

-Nueva herramienta software de apoyo: dispone de una Herramienta software que proporciona mejores resultados. Para las Administraciones Públicas es gratuita y para los consultores y empresas es de pago. Para solicitarla, si se es Admin. Pública ir al Web del Centro Criptológico Nacional. Para empresas, hay que ir al Web AR-Tools.com

-Mejores documentos finales: Tras acabar cada una de las fases se obtienen documentos con la información necesaria para tomar decisiones en materia de seguridad. Se obtienen como resultados los siguientes documentos: Inventario de activos, modelo de valor (activos y valor respecto al proceso de negocio estudiado), modelo de riesgo (riesgos detectados) y plan de seguridad.

Ahora es necesario que a esta fase de la gestión de la seguridad se le asigne la importancia que tiene y que la seguridad empiece a enfocarse desde el punto de vista de la gestión y la mejora continua. Ahora tenemos formalmente este marco definido gracias a la norma ISO 27001.

Quiero también destacar la gran labor que ha realizado el profesor J.A. Mañas en el desarrollo de esta metodología y su excelente visión en materia de seguridad que va abriendo y luchando por establecer esta nueva disciplina que es la gestión de la seguridad de la información. Destacar por parte del Ministerio de Administraciones Publicas a Miguel Angel Amutio, que también está intentando que la seguridad sea bien implantada en las Administraciones Públicas.


Enlaces de interes:
- Ficha de MAGERIT 2.0 en el MAP
- Web AR-Tools
- Ficha de MAGERIT en el Centro Criptológico Nacional.
 
;