MAGERIT es el nombre árabe que tenía la antigua Madrid, pero también el acrónimo de la Metodología de Análisis y Gestión de Riesgos de IT (del inglés, Information Technologies) creada por el Ministerio de Administraciones Públicas español con el fin de sistematizar el análisis y la gestión de riesgos en el marco de la Administración. Sirve para realizar los pasos delineados en mi anterior artículo sobre análisis de riesgos pero siguiendo una serie de pasos determinados y concretados en la metodología, así en vez de que cada responsable de seguridad haga un análisis de riesgos a su manera se usará un método común de manera que no haya lugar para la improvisación ni para la arbitrariedad del analista. Este enfoque tiene la ventaja de la interoperabilidad que ofrece con otros actores. Por un lado las empresas conocerán al detalle el método que se va a usar, por lo que podrán realizar ofertas más personalizadas para colaborar en alguno de los pasos. Por otro lado, este marco común de análisis de riesgos facilita la realimentación de los resultados y conclusiones en otras organizaciones de la Administración al basarse el método en una estructura que todos conocen.
MAGERIT se basa en tres libros. Concretamente:
- Método: Establece los conceptos básicos. Las tareas clave a realizar y la documentación resultante.
- Catálogo: Se trata de una lista de elementos estándar de manera que se cuente con una nomenglatura común a todos los proyectos de análisis y gestión de riesgos donde se aplique MAGERIT. Así, se enumeran: tipos de activos, dimensiones de valoración de los activos, criterios de valoración de los activos, amenazas típicas sobre los sistemas de información y salvaguardas a considerar a la hora de proteger los sistemas de información.
- Guía de técnicas: Explica una serie de técnicas útiles para cada uno de los pasos en los que se compone la metodología.
- Impacto acumulado: Es el calculado en función de las amenazas a las que está expuesto el activo y en función del valor de dicho activo más el de los que dependen de él. Sirve para determinar qué pasaría si un activo cayese, por lo que resulta extremadamente útil para determinar qué puntos son prioritarios a la hora de establecer salvaguardas.
- Impacto repercutido: Se calcula en función de su valor propio y de las amenazas a las que están sometidos los activos de los que depende. Sirve para determinar como le afectaría a un activo la caída de otros. Se utiliza a la hora de establecer los riesgos residuales.
El libro sobre el Método divide el Análisis y la Gestión del Riesgo (AGR) en tres procesos:
- Planificación: De los medios materiales y humanos destinados a la realización del AGR, el ámbito del análisis y los plazos a los que se ceñirá.
- Análisis de Riesgos: Valoración de los diferentes elementos (activos, amenazas y salvaguardas) y de sus interdependencias (riesgos, impactos y eficacia de las salvaguardas).
- Gestión del Riesgo: Se elige entre las distintas opciones de salvaguarda identificadas en el proceso de Análisis. Se elabora el plan de seguridad y se prepara su implantación.
Por último, no hay que olvidar MAGERIT está pensada para utilizarse conjuntamente con los Criterios de Seguridad, Normalización y Conservación, para los amigos Criterios SNC, y con la herramienta PILAR. Los Criterios SNC no son sino un recetario de buenas prácticas a la hora de plantear el desarrollo, despliegue y explotación de sistemas con el fin de mejorar su seguridad, integridad e interoperabilidad. Es un documento bastante interesante y, sobre todo, muy concreto y realista y debería ser de lectura obligada para cualquier ingeniero de seguridad que se precie independientemente de que trabaje para la Administración o no. En cuanto a PILAR es la herramienta automatizada de análisis de riesgos utilizada en la Administración española. Desgraciadamente, el uso de PILAR está restringido ya que el Centro Criptológico Nacional, responsable de la gestión de las licencias de PILAR, sólo las concede a las entidades de la Administración.