MAGERIT ANTECEDENTES Primeros pasos (2005) El supercomputador surge del acuerdo entre IBM y la Universidad Politécnica de Madrid para instalar un supercomputador en el recién creado CeSViMa. Fruto de este acuerdo se crea un supercomputador compuesto por 124 nodos que se instala provisionalmente en la Facultad de Informática de Madrid. Este ordenador recibe financiación de la Comunidad de Madrid y del Ministerio de Educación y Ciencia(tras la reorganización ministerial de 2009, Ministerio de Ciencia e Innovación de España). Incorporación a la Red Española de Supercomputación (2006 - 2007) Poco después, el CeSViMa entra a formar parte de la Red Española de Supercomputación y se realiza una ampliación de la máquina hasta alcanzar los 1204 nodos (los nodos adquiridos fruto del acuerdo de 2005 se integran en esos 1204 nodos) con una potencia de 14 Tflops6 considerándose esta la primera versión del supercomputador al entrar en la lista TOP500 en el segundo mejor puesto alcanzado por un supercomputador español (34º del mundo). A inicios de 2007, el nuevo supercomputador entra en servicio admitiendo los primeros usuarios asignados por el comité de acceso de la RES (el acuerdo de constitución indica que se cede el 68% de los recursos a estos usuarios) junto a usuarios que acceden a través del comité de acceso del propio centro (que utilizan el 32% restante). Mudanza y pequeñas actualizaciones (2008-2010) Edificio CeSViMa en el Parque UPM, actual alojamiento. En mayo de 2008, el CeSViMa se traslada a un nuevo edificio perteneciente al Parque Científico y Tecnológico de la UPM en el mismo Campus en el que se encuentra la Facultad de Informática dónde se encontraba su sede hasta el momento (a apenas 500 metros de distancia). Junto al traslado se realizan diversas mejoras en el sistema como el cambio del switch de comunicaciones, del sistema de almacenamiento o la inclusión de nodos de cómputo BladeCenter JS21, reemplazando los 124 originales. Esta modificaciones suponen un incremento de casi 2 TeraFLOPS de potencia, alcanzando los 15.95 TeraFLOPS7 y una redistribución del reparto (59.7% planificado por el comité de acceso de la RES y 40.3% gestionado por el comité de acceso del CeSViMa/UPM). Sin embargo, esta actualización no evita la salida de la lista TOP500 en noviembre de 2008. Un año después, en 2009, se realiza una actualización del sistema operativo (se migra a la distribución SLES10) y software de sistema utilizado en el supercomputador. Durante el año 2010, se adquiere un sistema de almacenamiento masivo con una capacidad de 1 PB que complementa al sistema de almacenamiento del propio Magerit. Renovación (2011) En el año 2011 se produce una profunda renovación del equipo reemplazando todos los nodos de cómputo y la red de interconexión con la última tecnología disponible en el tiempo récord de un mes.8 Esta segunda configuración logra el puesto 136 en la lista TOP5009 convirtiéndose en el mayor supercomputador español8 y alcanza el puesto 18 en la lista Green50010 la mejor de un supercomputador español. Nuevamente se modifica la distribución de recursos: el 80% se gestiona directamente por el comité de acceso del CeSViMay el 20% restante es planificado por el comité de acceso de la RES. A pesar de reducir el porcentaje gestionado por la RES se incrementa 4-5 veces la cantidad de recursos que se aportan a la red. La renovación no incluye el sistema de almacenamiento conservando el existente tras la actualización de 2008. Está prevista su actualización en los próximos años para adecuarla a las futuras necesidades. INTRODUCCION La Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de Administraciones públicas, MAGERIT, es un método formal para investigar los riesgos que soportan los sistemas de información, y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos. MAGERIT, ha sido elaborada por un equipo interdisciplinar del Comité Técnico de Seguridad de los Sistemas de Información y Tratamiento Automatizado de Datos personales, SSITAD, del Consejo Superior de Informática. Esta metodología tiene 6 fases, veamos cuales son porque tiene mucho sentido hacerlo en este orden: 1) ACTIVOS. Determinación de Activos. Es imprescindible tener un inventario actualizado. o Hay que agruparlos según funcionalidad: Servicios, Personal, Infraestructura, Conectividad, etc. Se va a determinar que no todos son de la misma "especie". o Realizar un inventario o Plano de la topología de la red para determinar la ubicación de los activos. 2) DIMENSIONES. De un activo puede interesar calibrar diferentes dimensiones. o o Dimensiones: Integridad Confidencialidad Autenticidad Trazabilidad Disponibilidad Estableceremos para cada activo unas dimensiones a calibrar. 3) VALORACIÓN o Puede ser cuantitativa: Cantidad numérica. o Puede ser cualitativa: Escala de niveles. o Pueden ser valoraciones homogeneas o relativas. o Como ejemplo podríamos definir esta escala: Valor Alto (A). Valor numérico 3. Criterio: Daño grave a la organización. Valor Medio (M). Valor numérico 2. Criterio: Daño importante a la organización. Sistema administrativo o infraestructura de comunicaciones Valor Bajo (B). Valor numérico 1. Criterio: Daño menor a la organización. o Ejemplo: Base de datos administrativa Servidor local y PCs Ejemplos *Activos aplicaciones: Sistemas operativos, software de ofimática, software de desarrollo, navegadores, clientes de correo, software de control remoto, antivirus, SQL Server, IIS o el software de backup. Quizás en esta categoría serían mas críticos aquellos aplicativos que son el core de la organización, por ejemplo el software de ofimática o el gestor documental sobre el que se apoya un departamento concreto. *Activos equipos: Servidores, cámaras de video vigilancia, servidor antivirus, servidores linux, puntos de acceso wifi, teléfonos, PCs, switches, servidores de base de datos, servidores frontales, servidores en DMZ, servidores AD y AD FS, etc. En esta categoría los mas críticos serían por ejemplo el servidor de base de datos, ya que de el dependen las aplicaciones de gestión y el servidor de antivirus por ejemplo ya que es mu importante evitar propagar un virus por la red. Quizás otro ejemplo serían los frontales de sharepoint de un gestor documental, sin el acceso a estos frontales no se podría trabajar. *Activos servicios internos: Bases de datos, servicio de antivirus, servicio web, correo electrónico. Quizás destacaríamos los servicios de base de datos y antivirus tal y como se ha mencionado anteriormente, de ellos dependería la disponibilidad y estabilidad del sistema de información. o Identificamos además dependencias. o Magerit permite ciertas ponderaciones según funcionalidad o importancia. 4) AMENAZAS. Determinar las amenazas que pueden afectar a cada activo identificado. o Las posibles amenazas se obtienen del catálogo de elementos que nos ofrece la metodología. Se definen unas categorías: Desastres naturales. Ejemplos Inundación Corte eléctrico por tormenta o Nieve De origen industrial o el entorno en el que se encuentra el activo. Ejemplos: Fuga de agua en una tubería Temperaturas o humedades por maquinaría cercana. Errores y fallos no intencionados. Defectos en aplicaciones o causadas por las personas de forma accidental. Ejemplos: Errores de usuarios Errores del administrador Escaeps y fugas de información no itencionados Ataques intencionados. Causadas por las personas de forma deliberada. Ejemplos: Abuso de privilegios Acceso no autorizado Modificación deliberada de la información Se realiza una evaluación de amenazas basada en al frecuencia de materialización de la amenaza para lo cual definiriamos la frecuencia como: Posibilidad de que ocurra en función de la cantidad de veces que se puede materializar dicha amenaza en un año. Se utiliza una escala de este estilo: 0,1 - una vez cada 10 años 1 - todos los años 10 - todos los meses 100 - todos los días o Además tendremos que tener en cuenta la degradación que sufra el activo ante una amenaza. Para cada tipo de equipamiento se distingue una serie de averías, errores y eventos que vamos a valorar. o Cada uno afectará a una dimensión concreta a controlar en los activos. 5) IMPACTO Y SALVAGUARDAS. Se miden los impactos y riesos a que estarían expuestos los activos si no se protegieran en absoluto. o Impacto: El análisis de impacto nos indica que las consecuencias de la materialización de una amenaza puede ser críticas para una serie de activos, por ejemplo SQL Server o el backup. o En la estimación de Impactos de las amenazas sobre los activos identificamos las vulnerabilidades críticas. o Hay que determinar el grado de riesgo al que está expuesto cada activo. Se colorean mediante colores diferenciando los niveles de criticidad. Hay que identificar el grado de madurez de cada activo y por lo tanto Se muestra con una escala de colores según un valor: 5. Crítico. Rojo 4. Muy alto. Rosado 3. Alto. Amarillo 2. Medio. Azul 1. Bajo. Verde 0. Despreciable OFF. el activo o uno del que depende está marcado como no disponible. o Este código de colores facilita mucho visualmente la identificación de salvaguardas que van a ser prioritarias. o Observaremos que los riesgos son mas críticos para determinados activos como puedan ser los que estén relacionados con el backup o la base de datos o cierto software importante. o Determinación de los criterios de aceptación del riesgo. Tenemos que conocer el riesgo residual que pueda quedar en caso de explotación de una vulnerabilidad. o Determinación de las medidas de seguridad necesarias o salvaguardas. Calculamos que activos están mas expuestos o cuales tienen mayor importancia Se calcula el riesgo potencial y el acumulado Se calculan riesgos sin salvaguardas en una primera fase Después aplicando las salvaguardas se calcula el riesgo final obtenido. Utilizando la herramienta Pilar podemos gestionar todas estas fases. Conforme vayamos realizando los análisis y vayamos aplicando las contramedidas, se va observando como cambian los riesgos asociados a cada activo crítico. Finalmente se calcula una madurez de los controles sin y con salvaguarda y se comparan los resultados finales. Habitualmente Magerit facilita realizar el estudio y el análisis de riesgos, garantizando la seguridad de los activos que intervienen en el tratamiento de la información. Permite además mejorar la madurez de los sistemas y las políticas de seguridad. Si siempre realizamos la gestión de riesgos periódicamente con la misma metodología, podremos comparar los resultados obtenidos. OBJETIVOS Hay varias aproximaciones al problema de analizar los riesgos soportados por los sistemas TIC, como pueden ser guías informales, aproximaciones metódicas y herramientas de soporte. Todas buscan objetivar el análisis de riesgos para saber cuán seguros (o inseguros) son los sistemas y no llamarse a engaño. El gran reto de todas estas aproximaciones es la complejidad del problema al que se enfrentan; complejidad en el sentido de que hay muchos elementos que considerar y que, si no se es riguroso, las conclusiones serán de poco fiar. Es por ello que en Magerit se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista, segun esto. Magerit persigue los siguientes objetivos: Concientizar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo. Ofrecer un método sistemático para analizar tales riesgos. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control. Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso. Ventajas de Magerit: Las decisiones que deban tomarse y que tengan que ser validadas por la dirección estarán fundamentadas y serán fácilmente defendibles Desventajas de Magerit: El hecho de tener que traducir de forma directa todas las valoraciones en valores económicos hace que la aplicación de esta metodología sea realmente costosa ESTRUCTURA Elementos: Proporcionan los componentes del sistema (Activos, Amenazas, vulnerabilidades, Impacto, Riesgo, Salvaguardas) Eventos: Relaciona los elementos entre si y con el tiempo. Procesos: Describe el proyecto de seguridad a construir en cuatro etapas (Planificaciones, Análisis de riesgo, Gestion de riesgos, Selección de mecanismo de salvaguardas) CARACTERISTICAS A continuación se presentan las caracteristicas más importantes que deben tenerse en cuenta para MAGERT: AMENAZAS aquellos incidentes que pueden generar daño en la organización produciendo pérdidas materiales o inmateriales RIESGOS El riesgo se reconoce como una posibilidad de que exista un impacto negativo en un Activo o Dominio. VULNERABILIDADES la relación entre un activo y una amenaza. Se expresa con valores decimales extremos (0 y 1), donde 0= la amenaza no alcanza al activo y 1= no alcanzable, agresión permanente. SALVAGUARDIAS O CONTROLES acción que reduce un riesgo mientras que el mecanismo salvaguarda es el dispositivo capaz de reducir el riesgo. NIVELES VERSIÓN 1.0 (1997) análisis de riesgos se ha consolidado como paso fundamental para la gestión de la seguridad informática VERSIÓN 2.0 Introdujo nuevas alternativas para medir los activos, intenta diferenciar de manera más contundente lo que es esencial y permanente, de lo que es coyuntural VERSIÓN 3.0 (2012) organizado en tres libros, enfatiza en el desarrollo de nuevas aplicaciones. PRINCIPOS MANDATO Y COMPROMISO Responsabilidad fuerte y sostenido de la dirección y la planeación estratégica de este. DISEÑO DEL MARCO DE TRABAJO comprensión de la organización y su contexto, políticas de riesgo, obligación de informes, interacción de procesos, recursos, mecanismos internos y externos de comunicación e información. IMPLEMENTACION DE LA GESTIÓN DE RIESGOS implementación de marco de trabajo y procesos adecuados para la gestión de riesgos. SEGUIMIENTO Y REVISIÓN DEL MARCO verificación de los procesos de la gestión de riesgos y al control de los mismos. MEJORA CONTINUA DEL MARCO Comprende marcos estratégicos para la mejora continua de la gestión de riesgos mediante la planificación, el hacer, verificar y actuar ANÁLISIS Y GESTIÓN DE RIESGOS La metodología MAGERIT realiza diferentes actividades enfocadas a los activos informáticos, que posee la entidad para el tratamiento de la información. Si dicha información es valiosa y muy relevante Esta metodología permitirá saber el valor que representa y posteriormente aplicar las medidas necesarias para protegerlo, se debe conocer el riesgo al que están sometidos los elementos de trabajo para lo cual es imprescindible para poder gestionarlos. CONCLUCION Esta metodología interesa a todos aquellos que trabajan con información digital y sistema de información para tratarla. Si estos son valiosos, Magerit permitirá saber cuanto valor esta en juego y ayudara a protegerlo, además de conocer el riego al que están sometidos los elementos de trabajo lo cual es imprescindible para poder gestionarlos. Con Magerit se persigue una aproximación metódica que que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista. BIBLIOGRAFIA https://es.wikipedia.org/wiki/Magerit https://www.gaizka.net/2018/06/introduccion-magerit.html http://seguridadmagerit.blogspot.com/2015/07/objetivos-principales-de-magerit.html https://asijav.weebly.com/auditoria-de-sistemas-de-informacioacuten/magerit-v3metodologa-de-anlisis-y-gestin-de-riesgos-de-los-sistemas-de-informacin http://kathe-sistemasdeinformacion.blogspot.com/2015/10/magerit.html