Bloque 02. Tema 10.  Plan de seguridad. Plan de contingencias. Plan de recuperación. Políticas de salvaguarda. El método MAGERIT v2 de gestión de la seguridad.

El método MAGERIT v2 de gestión de la seguridad

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Creado por CSAE: Consejo Superior de Administración Electrónica.

En el período transcurrido desde la primera versión de MAGERIT (en 1997)  hasta  la fecha, el análisis de riesgos se ha venido consolidando como paso necesario para la gestión de la seguridad.

El asunto es la confianza en que los sistemas estánn bajo control: se sabe qué puede pasar y qué hacer cuando pasa. Aquí se busca conocer para confiar. Conocer los riesgos para poder afrontarlos y controlarlos.

 

Objetivos

MAGERIT persigue los siguientes objetivos directos:

  1. Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.
  2. Ofrecer un método sistemático para analizar tales riesgos.
  3. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.

Y persigue los siguientes objetivos indirectos:

  1. Preparar a la organización para procesos de evaluación, auditoria, certificación o acreditación según corresponda en cada caso.
    También se ha buscado la
    uniformidad de de los informes que recogen los hallazgos y las conclusiones de un proyecto de Análisis y Gestión de Riesgos (AGR) .

Definiciones

Introducción al AGR

Seguridad es la capacidad de los sistemas de información o de las redes para resistir, con un determinado nivel de confianza los accidentes o acciones ilícitas o malintencionadas que comprometan la ACID:

de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles. ACID es lo que se conoce como Dimensiones de la seguridad:

Evaluación, Certificación, Auditoría y Acreditación

El AGR es la base de todas . Proporciona una visión singular de cómo es cada sistema, qué valor posee, a qué amenazas está expuesto y de qué salvaguardas está dotado.

Estándares

A continuación un listado de estándares que son útiles para el test -anotar en documento específico del test-