ISO 27001

ISO 27001: El método MAGERIT

ISO 27001

Sistema de Gestión de Seguridad de la Información

El método MAGERIT, son las siglas de Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de la Administraciones, dicho método cubre la fase AGR (Análisis y Gestión de Riesgos). Si hablamos de Gestión global de la Seguridad de un Sistema de Seguridad de la Información basado en ISO 27001, MAGERIT, es el núcleo de toda actuación organizada en dicha materia, ya que influye en todas las fases que sean de tipo estratégico y se condiciona la profundidad de las fases de tipo logístico.

El Consejo Superior de Informática ha sido el encargado de elaborar la primera versión de MAGERIT, con lo que promueve su utilización como respuesta a la dependencia creciente de toda la sociedad respecto a las Tecnologías de la Información. MAGERIT se encuentra muy relacionada con la generación en la que se utilizan los medios electrónicos, informáticos y telemáticos, lo que genera grande beneficios para los empleados y los ciudadanos, aunque también puede dar lugar a diferentes riesgos que se tienen que minimizar con medidas de seguridad que generan confianza. MAGERIT facilita que se pueda llevar a cabo:

  • El análisis de riesgo en cualquier tipo de Sistema de Seguridad de la Información (SSI), así como todos sus elementos, obteniendo un índice único en el que se realicen las estimaciones de su vulnerabilidad ante todas las posibles amenazas y el impacto que puede generar en la empresa.
  • La gestión de riesgos, se basa en todos los resultados obtenidos durante el análisis que hemos hecho anteriormente, se seleccionan medidas  de seguridad adecuadas para poder conocer, prevenir, impedir, recudir o controlar todos los riesgos que se han identificado, pudiendo de este modo reducir al mínimo la potencialidad del riesgo.

El objetivo perseguido en sucesivas versiones de MAGERIT es la evaluación, homologación y certificación de Seguridad de Sistemas de Información (SSI) según ISO 27001:

  • Se debe tener como referencia los criterios de ITSEC de Evaluación de la Seguridad de las Tecnologías de la Información, gracias a una recomendación del Consejo Europeo.
  • Se tiene en cuenta también la referencia de los Criterios Comunes de Evaluación de la Seguridad de los Productos y Sistema de Información.
  • Utilizando MAGERIT cuando se requiere un Análisis y Gestión de Riesgos (AGR) para poder evaluar los criterios de seguridad.

MAGERIT ha sido editado en un directorio que se encuentra compuesto por un conjunto de seis guías y un panel de herramientas de apoyo, con sus correspondientes guías de uso.

La Guía de Aproximación se encuentra orientada a identificar todas las existencias de posibles riesgos, se presenta de forma en la que la gestión de la Seguridad de Sistemas de Información (SSI) en la fase de análisis y gestión de riesgos que cubre MAGERIT establece un punto de arranque sobre las medidas que se deben tomar a la hora de disponer y ejecutar.

La Guía de Procedimientos junto a la Guía de Técnicas forman parte del núcleo del método. Ambas se unen en un conjunto perfectamente autosuficiente y con el contenido con el que cuenta basta para entender que la terminología y realizar el análisis y gestión de riesgo de cualquier Sistema de la Información. Es entonces donde enlazamos la utilización de herramientas construidas en torno a MAGERIT, por lo que es conveniente que se estudie el sistema.

La Guía de Procedimientos  integra también, los resultados de las tareas que se indican en la Guía para responsables del dominio protegido y por otro lado se enlaza la Guía para desarrolladores de aplicaciones que facilitan la inserción de medidas de seguridad adecuadas en proyectos.

MAGERIT tiene una visión estratégica global de la Seguridad de los Sistemas de Información ISO 27001, esta visión comienza en un modelo de análisis y gestión de riesgos que comprende tres modelos: entidades, eventos y procesos como podemos ver:

diagrama 16

En materia relativa a los Sistemas de Seguridad de la Información (SSI) después de una primera generación, los métodos de tercera generación se enlazan a los modelos de seguridad con el modelo general de sistemas abstractos.

Plan de entregas entre los estados iniciales y finales

Todo el método que actúe sobre la SSI se plantea un proyecto de cambio en el estado de la Seguridad del Sistema. Las características que todo estado de Seguridad del Sistema, como puede ser su estado inicial, con el que arranca el sistema y su estado final con el finaliza.

El método de tercera generación prepara el plan de entregas en el que encuentra el estado inicial y el estado final deseado de la Seguridad de Sistema de Información (SSI) ISO 27001.

Modelo de Seguridad de tercera generación

Un método de SSI de tercera generación se encuentra basado en un modelo que tiene que permitir la construcción de proyectos específicos que aseguren el Sistema de Información estudiado con un alcance y una complejidad determinados.

Acotación y estado de seguridad de dominio estudiado

En toda gestión de Seguridad de Sistemas de Información (SSI) según al ISO 27001 se tiene que empezar siempre por acotar el dominio seleccionado, delimitado por los activos que comprende y separa de su entorno.

Para caracterizar el dominio, MAGERIT se utilizan diferentes técnicas que pueden ser aplicadas en distintas situaciones o momentos del proyecto.

Software para ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISO-27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.

Descargue el e-book fundamentos de gestión de Seguridad de la Información
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Volver arriba