Es en el año 2012 la ultima vez que se revisó la metodología para el Análisis de Riesgos MAGERIT. Los cambios múltiples respecto la anterior versión, pero en este caso nos vamos a orientar expresamente a los relativos del Análisis de Riesgos, la tipología de activos, Amenazas y Vulnerabilidades.

Este contenido lo podéis encontrar en el Libro 2 de MAGERIT 3 denominado Catálogo de Elementos. Disponible en la web oficial del Ministerio.

Tipos de Activos en Magerit

Comparando lo que se ha establecido en la Versión 3 con MAGERIT 2, lo primero que podemos recoger es que el listado de Activos es distinto, de hecho se inicia el apartado haciendo referencia al concepto de Activos Esenciales pero finalmente, a la hora de ser prácticos carecen de importancia ya que el listado queda de la siguiente forma:

[D] Datos/información
[K] Claves Criptográficas
[S] Servicios
[SW] Aplicaciones
[HW] HardWare
[COM] Redes de Comunicaciones
[Media] Soportes de información
[AUX] Equipamiento Auxiliar
[L] Instalaciones
[P] Personal

Por lo que podemos observar, realmente se ha incluido un nuevo Tipo de Activo, K – Claves criptográficas, y se ha adaptado el nombre de SI a Media para identificar a los Soportes de Información.

Existen otros detalles como el hecho de que el Backup se considera ahora parte de Datos/Información o que se reconozca al personal Administrador de Seguridad. Matices que se ajustan mejor a la realidad. Concretamente, distinguimos entre Administrador de Seguridad (técnico) que administra los sistemas y el responsable de Seguridad (persona no técnica) que se preocupa de conocer el nivel de seguridad.

Criterios de Valoración en Magerit

Realmente se sigue utilizando la misma regla numérica pero ahora existe el límite de extremo:

Y en esta versión, se han establecido las escalas con números que ayudan a comprender y utilizar los ratios de valoración. Este punto, 4.1 Escalas estándar, es uno de las grandes mejoras. Se agradece poder mantener los criterios de una forma mucho más clara.

Cambios de Amenazas y Vulnerabilidades

Asociación de tipo de activos más actual

Los cambios más interesantes en MAGERIT se han dado en este aspecto de identificar Amenazas. En este sentido, en esta versión de MAGERIT de forma mucho más acorde a la realidad actual donde existen un sin fin de componentes virtualizados, las amenazas están asociadas a los elementos que realmente pueden sufrir este tipo de eventos. Es decir, actualmente se generan elementos como switches mediante los sistemas de virtualización polr lo que se trata de elementos no-físicos y ahora la asociación es mucho más correcta.

Amenazas que afectan a activos específicos

Existen algunos casos en los que las tablas de amenazas identifican un tipo de activo mucho más específico como es el caso de D.log y D.Conf (refiriendose a Datos de logs y Datos de Configuración respectivamente).

Esto ocurre para el siguiente listado de Amenazas:

  • E.3 – Errrores de monitorización
  • E.4 – Errores de configuración
  • A.3 – Manipulación de los registros de actividad
  • A.4 – Manipulación de la configuración
  • A.13 – Repudio

Amenazas obsoletas, desaparecidas y reapariciones

A lo largo del nuevo listado se identifica una amenaza como obsoleta, la E.7 – Deficiencia en la organización. Todavía la mantienen por lo que aunque quede obsoleta, deberíamos de seguir utilizándola (no creo que estén muy claras las responsabilidad en muchos casos).

Existe otra obsoleta, la E.14 – Escapes de información. Pero en este caso recomiendan el uso de E.19 – Fugas de información.

Desaparecen las siguientes amenazas:

  • E.16 – Introducción de falsa información
  • E.17 – Degradación de la información
  • A.16 – Introducción de falsa información
  • A.17 – Corrupción de la información

Se suman:

  • A.3 – Manipulación de los registros de actividad
  • A.23 – Alteración de los equipos

Vulnerabilidades identificadas por EBIOS

Uno de los puntos más negativos que se pueden identificar en esta versión, es la identificación de vulnerabilidades en base a EBIOS (Norma Francesa que traducida significa: Expresión de las necesidades y de identificación de los Objetivos de Seguridad). Lo que supone tener que seguir otro nuevo documento.

Además, esta documentación no se encuentra en castellano ni en ingles con los problemas que ello supone. Agradeceríamos las inclusiones en castellano para facilitar la labor.

Resto de Cambios en MAGERIT

Sin examinar el resto del documento en profundidad, se pueden apreciar cambios en el planteamiento realizado respecto al punto de las Salvaguardas. En este aspecto se ha reducido y simplificado en exceso para mi gusto ya que simplemente se mencionan las alternativas sin entrar en ciertos aspectos de detalle que para personal no experto en seguridad TIC, se queda demasiado resumido.

src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js">