Diapositiva Magerit

 INTEGRANTES:
 Alejandra López Rocha

 Eduardo Negrete Becerra
 Tania Inturias Claros
 DOCENTE : Lic. Flipe Loayza Loayza, Msg

MAGERIT
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
 MAGERIT es una metodología de carácter público que puede ser utilizada libremente y no
requiere autorización previa. Interesa principalmente a las entidades en el ámbito de
aplicación del Esquema Nacional de Seguridad (ENS) para satisfacer el principio de la gestión
de la seguridad basada en riesgos, así como el requisito de análisis y gestión de riesgos,
considerando la dependencia de las tecnologías de la información para cumplir misiones,
prestar servicios y alcanzar los objetivos de la organización. Actualmente está en su
versión 3.
 Fue desarrollado MAGERIT una metodología de análisis y gestión de riesgos elaborada por
el Consejo Superior de Administración Electrónica de España, que ofrece un método
sistemático para analizar los riesgos derivados del uso de tecnologías de la información y
comunicaciones para de esta forma implementar las medidas de control más adecuadas que
permitan tener los riesgos mitigados.
 Siguiendo la terminología de la normativa ISO 31000-ISO 27000, MAGERIT responde a lo
que se denomina “Proceso de Gestión de los Riesgos”, (“Implementación de la Gestión de
los Riesgos”) dentro del “Marco de Gestión de Riesgos”
 Lo interesante de esta metodología, es que presenta una guía completa y paso a paso de
cómo llevar a cabo el análisis de riesgos.
1. El primero de ellos hace referencia al Método, donde se describe la estructura que debe tener
el modelo de gestión de riesgos.
2. El segundo libro es un Catálogo de Elementos, el cual es una especie de inventario que puede
utilizar la empresa para enfocar el análisis de riesgo.
3. Finalmente, el tercer libro es una Guía de Técnicas, lo cual lo convierte en un factor
diferenciador con respecto a otras metodologías. En esta tercera parte se describen diferentes
técnicas frecuentemente utilizadas en el análisis de riesgos. Contiene ejemplos de análisis con
tablas, algoritmos, árboles de ataque, análisis de costo beneficio, técnicas gráficas y buenas
prácticas para llevar adelante sesiones de trabajo para el análisis de los riesgos.
 Esta metodología es muy útil para aquellas empresas que inicien con la gestión de la
seguridad de la información, pues permite enfocar los esfuerzos en los riesgos que pueden
resultar más críticos para una empresa, es decir aquellos relacionados con los sistemas de
información.
Objetivos
 MAGERIT persigue los siguientes Objetivos Directos:
1. Concienciar a los responsables de las organizaciones de información de la existencia de

riesgos y de la necesidad de gestionarlos
2. Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la
información y comunicaciones.
3. Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control
Indirectos
4. Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación,

según corresponda en cada caso
Norma ISO 31000
La norma ISO 31000 sobre Gestión de Riesgos proporciona una guía y unos principios
que ayudan a las empresas en el análisis y evaluación de los riesgos.
Gobierno y liderazgo
 En el desarrollo de la nueva norma ISO 31000, la intención fue destacar la importancia del
liderazgo como parte de la alta administración, dándole una importancia relevante a la
integración de riesgos, comenzando desde el gobierno corporativo.
 En este sentido, destacar que se pueden contemplar dos grandes ramas dentro del
gobierno:
 Gobierno corporativo: se ocupa de dar conformidad a las normas, leyes, políticas internas,
etc.
 Gobierno de negocios: orientado principalmente a promover el desempeño de la

organización.
 De ahí, que sea interesante el fortalecimiento del liderazgo desde la alta dirección, ya
que vincula al gobierno con la gestión organizacional y el desempeño.
Principios Como Factor Clave de Éxito
La norma ISO 31000, incluye a los principios del riesgo como factor clave del éxito en el
diseño, implementación, operación, mantenimiento y mejora de un sistema de decisión de
riesgos.
 Los principios se desarrollan de la siguiente manera en base al Sistema de Gestión de Riesgos:
 El Sistema de Gestión de Riesgos debe ser integrado, y no aislado del resto de procesos de la

organización.
 Debe ser estructurado, con resultados comparables entre periodos, y tangibles, de manera que
se pueda medir su desempeño.
 También, debe ser adaptado, es decir, que se pueda ajustar al contexto de la organización y estar
íntimamente relacionado con los objetivos.
 Ser inclusivo e involucrar a cada una de las partes interesadas, considerando los diferentes
puntos de vista o percepciones que puedan tener.
 Tiene que ser dinámico y con capacidad para responder a los cambios.
 El SG debe basarse en la mejor información disponible y, a poder ser, a tiempo real, oportuna y
clara.
• Los factores humanos y culturales deben ser considerados, ya que el SG está
desarrollado por personas.
Y, evidentemente, debe incluir la mejora continua.
Marco de referencia como factor de integración

 La nueva norma ISO 31000, dicta que el marco de referencia actuará como factor de
integración de un Sistema de Gestión de Riesgos, con objeto de buscar una eficiencia y
efectividad cada vez mayor.
 Por tanto, el principal objetivo de esta nueva versión, es la integración de los riesgos dentro de
todas las actividades y las funciones, gracias al liderazgo y compromiso de la alta dirección y
de los órganos de supervisión.

Norma ISO 27000
 ISO 27000 es un conjunto de estándares internacionales sobre la Seguridad de la Información.
La familia ISO 27000 contiene un conjunto de buenas prácticas para el establecimiento,
implementación, mantenimiento y mejora de Sistemas de Gestión de la Seguridad de la
Información.
 Asimismo, los pilares principales de la familia 27000 son las normas 27001 y 27002. La principal
diferencia entre estas dos normas, es que 27001 se basa en una gestión de la seguridad de
forma continuada apoyada en la identificación de los riesgos de forma continuada en el tiempo.
En cambio, 27002, es una mera guía de buenas prácticas que describe una serie de objetivos de
control y gestión que deberían ser perseguidos por las organizaciones.
 ISO 27001: es el conjunto de requisitos para implementar un SGSI
(Sistema de Gestión de Seguridad de la Información). Es la única norma
certificable de las que se incluyen en la lista y consta de una parte
principal basada en el ciclo de mejora continua y un Anexo A, en el que se
detallan las líneas generales de los controles propuestos por el estándar.
 ISO 27002: se trata de una recopilación de buenas prácticas para la

Seguridad de la Información que describe los controles y objetivos de
control. Actualmente cuentan con 14 dominios, 35 objetivos de control y
114 controles.
GRACIASPOR SU
ATENCION

Diapositiva Magerit

Cargado por

Copyright:

Formatos disponibles

Diapositiva Magerit

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Diapositiva Magerit

Cargado por

Copyright:

Formatos disponibles

 INTEGRANTES:

 Alejandra López Rocha

 DOCENTE : Lic. Flipe Loayza Loayza, Msg

1. Concienciar a los responsables de las organizaciones de información de la existencia de

4. Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación,

 Gobierno de negocios: orientado principalmente a promover el desempeño de la

 El Sistema de Gestión de Riesgos debe ser integrado, y no aislado del resto de procesos de la

 Tiene que ser dinámico y con capacidad para responder a los cambios.

Marco de referencia como factor de integración

 ISO 27002: se trata de una recopilación de buenas prácticas para la

También podría gustarte