Subido por vanesa ramos

MAGERIT

Anuncio
MAGERIT
ANTECEDENTES
Primeros pasos (2005)
El supercomputador surge del acuerdo entre IBM y la Universidad Politécnica de Madrid para
instalar un supercomputador en el recién creado CeSViMa. Fruto de este acuerdo se crea un
supercomputador compuesto por 124 nodos que se instala provisionalmente en la Facultad de
Informática de Madrid. Este ordenador recibe financiación de la Comunidad de Madrid y
del Ministerio de Educación y Ciencia(tras la reorganización ministerial de 2009, Ministerio de
Ciencia e Innovación de España).
Incorporación a la Red Española de Supercomputación (2006 - 2007)
Poco después, el CeSViMa entra a formar parte de la Red Española de Supercomputación y se
realiza una ampliación de la máquina hasta alcanzar los 1204 nodos (los nodos adquiridos fruto
del acuerdo de 2005 se integran en esos 1204 nodos) con una potencia de 14 Tflops6
considerándose esta la primera versión del supercomputador al entrar en la lista TOP500 en el
segundo mejor puesto alcanzado por un supercomputador español (34º del mundo).
A inicios de 2007, el nuevo supercomputador entra en servicio admitiendo los primeros
usuarios asignados por el comité de acceso de la RES (el acuerdo de constitución indica que se
cede el 68% de los recursos a estos usuarios) junto a usuarios que acceden a través del comité
de acceso del propio centro (que utilizan el 32% restante).
Mudanza y pequeñas actualizaciones (2008-2010)
Edificio CeSViMa en el Parque UPM, actual alojamiento.
En mayo de 2008, el CeSViMa se traslada a un nuevo
edificio perteneciente al Parque Científico y Tecnológico
de la UPM en el mismo Campus en el que se encuentra la
Facultad de Informática dónde se encontraba su sede
hasta el momento (a apenas 500 metros de distancia).
Junto al traslado se realizan diversas mejoras en el sistema
como el cambio del switch de comunicaciones, del sistema
de almacenamiento o la inclusión de nodos de
cómputo BladeCenter JS21, reemplazando los 124 originales. Esta modificaciones suponen un
incremento de casi 2 TeraFLOPS de potencia, alcanzando los 15.95 TeraFLOPS7 y una
redistribución del reparto (59.7% planificado por el comité de acceso de la RES y 40.3%
gestionado por el comité de acceso del CeSViMa/UPM). Sin embargo, esta actualización no
evita la salida de la lista TOP500 en noviembre de 2008.
Un año después, en 2009, se realiza una actualización del sistema operativo (se migra a la
distribución SLES10) y software de sistema utilizado en el supercomputador. Durante el
año 2010, se adquiere un sistema de almacenamiento masivo con una capacidad de 1 PB que
complementa al sistema de almacenamiento del propio Magerit.
Renovación (2011)
En el año 2011 se produce una profunda renovación del equipo reemplazando todos los nodos
de cómputo y la red de interconexión con la última tecnología disponible en el tiempo récord
de un mes.8 Esta segunda configuración logra el puesto 136 en la lista TOP5009 convirtiéndose
en el mayor supercomputador español8 y alcanza el puesto 18 en la lista Green50010 la mejor
de un supercomputador español. Nuevamente se modifica la distribución de recursos: el 80%
se gestiona directamente por el comité de acceso del CeSViMay el 20% restante es planificado
por el comité de acceso de la RES. A pesar de reducir el porcentaje gestionado por la RES se
incrementa 4-5 veces la cantidad de recursos que se aportan a la red.
La renovación no incluye el sistema de almacenamiento conservando el existente tras la
actualización de 2008. Está prevista su actualización en los próximos años para adecuarla a las
futuras necesidades.
INTRODUCCION
La Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de
Administraciones públicas, MAGERIT, es un método formal para investigar los riesgos que
soportan los sistemas de información, y para recomendar las medidas apropiadas que
deberían adoptarse para controlar estos riesgos.
MAGERIT, ha sido elaborada por un equipo interdisciplinar del Comité Técnico de Seguridad de
los Sistemas de Información y Tratamiento Automatizado de Datos personales, SSITAD, del
Consejo Superior de Informática.
Esta metodología tiene 6 fases, veamos cuales son porque tiene mucho sentido hacerlo en
este orden:


1) ACTIVOS. Determinación de Activos. Es imprescindible tener un inventario
actualizado.
o
Hay que agruparlos según funcionalidad: Servicios, Personal, Infraestructura,
Conectividad, etc. Se va a determinar que no todos son de la misma "especie".
o
Realizar un inventario
o
Plano de la topología de la red para determinar la ubicación de los activos.
2) DIMENSIONES. De un activo puede interesar calibrar diferentes dimensiones.
o
o

Dimensiones:

Integridad

Confidencialidad

Autenticidad

Trazabilidad

Disponibilidad
Estableceremos para cada activo unas dimensiones a calibrar.
3) VALORACIÓN
o
Puede ser cuantitativa: Cantidad numérica.
o
Puede ser cualitativa: Escala de niveles.
o
Pueden ser valoraciones homogeneas o relativas.
o
Como ejemplo podríamos definir esta escala:

Valor Alto (A). Valor numérico 3. Criterio: Daño grave a la
organización.


Valor Medio (M). Valor numérico 2. Criterio: Daño importante a la
organización.


Sistema administrativo o infraestructura de comunicaciones
Valor Bajo (B). Valor numérico 1. Criterio: Daño menor a la
organización.

o
Ejemplo: Base de datos administrativa
Servidor local y PCs
Ejemplos
*Activos aplicaciones: Sistemas operativos, software de ofimática, software de desarrollo,
navegadores, clientes de correo, software de control remoto, antivirus, SQL Server, IIS o el
software de backup. Quizás en esta categoría serían mas críticos aquellos aplicativos que son el
core de la organización, por ejemplo el software de ofimática o el gestor documental sobre el
que se apoya un departamento concreto.
*Activos equipos: Servidores, cámaras de video vigilancia, servidor antivirus, servidores linux,
puntos de acceso wifi, teléfonos, PCs, switches, servidores de base de datos, servidores
frontales, servidores en DMZ, servidores AD y AD FS, etc. En esta categoría los mas críticos
serían por ejemplo el servidor de base de datos, ya que de el dependen las aplicaciones de
gestión y el servidor de antivirus por ejemplo ya que es mu importante evitar propagar un
virus por la red. Quizás otro ejemplo serían los frontales de sharepoint de un gestor
documental, sin el acceso a estos frontales no se podría trabajar.
*Activos servicios internos: Bases de datos, servicio de antivirus, servicio web, correo
electrónico. Quizás destacaríamos los servicios de base de datos y antivirus tal y como se ha
mencionado anteriormente, de ellos dependería la disponibilidad y estabilidad del sistema de
información.

o
Identificamos además dependencias.
o
Magerit permite ciertas ponderaciones según funcionalidad o importancia.
4) AMENAZAS. Determinar las amenazas que pueden afectar a cada activo
identificado.
o
Las posibles amenazas se obtienen del catálogo de elementos que nos ofrece
la metodología. Se definen unas categorías:

Desastres naturales. Ejemplos

Inundación

Corte eléctrico por tormenta




o

Nieve
De origen industrial o el entorno en el que se encuentra el activo.
Ejemplos:

Fuga de agua en una tubería

Temperaturas o humedades por maquinaría cercana.
Errores y fallos no intencionados. Defectos en aplicaciones o causadas
por las personas de forma accidental. Ejemplos:

Errores de usuarios

Errores del administrador

Escaeps y fugas de información no itencionados
Ataques intencionados. Causadas por las personas de forma
deliberada. Ejemplos:

Abuso de privilegios

Acceso no autorizado

Modificación deliberada de la información
Se realiza una evaluación de amenazas basada en al frecuencia de
materialización de la amenaza para lo cual definiriamos la frecuencia como:
Posibilidad de que ocurra en función de la cantidad de veces que se puede
materializar dicha amenaza en un año. Se utiliza una escala de este estilo:

0,1 - una vez cada 10 años

1 - todos los años

10 - todos los meses

100 - todos los días
o
Además tendremos que tener en cuenta la degradación que sufra el activo
ante una amenaza. Para cada tipo de equipamiento se distingue una serie de
averías, errores y eventos que vamos a valorar.
o
Cada uno afectará a una dimensión concreta a controlar en los activos.
5) IMPACTO Y SALVAGUARDAS. Se miden los impactos y riesos a que estarían
expuestos los activos si no se protegieran en absoluto.
o
Impacto: El análisis de impacto nos indica que las consecuencias de la
materialización de una amenaza puede ser críticas para una serie de activos,
por ejemplo SQL Server o el backup.
o
En la estimación de Impactos de las amenazas sobre los activos identificamos
las vulnerabilidades críticas.
o

Hay que determinar el grado de riesgo al que está expuesto cada
activo.

Se colorean mediante colores diferenciando los niveles de criticidad.

Hay que identificar el grado de madurez de cada activo y por lo tanto
Se muestra con una escala de colores según un valor:

5. Crítico. Rojo

4. Muy alto. Rosado

3. Alto. Amarillo

2. Medio. Azul

1. Bajo. Verde

0. Despreciable

OFF. el activo o uno del que depende está marcado como no
disponible.
o
Este código de colores facilita mucho visualmente la identificación de
salvaguardas que van a ser prioritarias.
o
Observaremos que los riesgos son mas críticos para determinados activos
como puedan ser los que estén relacionados con el backup o la base de datos
o cierto software importante.
o
Determinación de los criterios de aceptación del riesgo. Tenemos que conocer
el riesgo residual que pueda quedar en caso de explotación de una
vulnerabilidad.
o
Determinación de las medidas de seguridad necesarias o salvaguardas.

Calculamos que activos están mas expuestos o cuales tienen mayor
importancia

Se calcula el riesgo potencial y el acumulado

Se calculan riesgos sin salvaguardas en una primera fase

Después aplicando las salvaguardas se calcula el riesgo final obtenido.
Utilizando la herramienta Pilar podemos gestionar todas estas fases. Conforme vayamos
realizando los análisis y vayamos aplicando las contramedidas, se va observando como
cambian los riesgos asociados a cada activo crítico.
Finalmente se calcula una madurez de los controles sin y con salvaguarda y se comparan los
resultados finales. Habitualmente Magerit facilita realizar el estudio y el análisis de riesgos,
garantizando la seguridad de los activos que intervienen en el tratamiento de la información.
Permite además mejorar la madurez de los sistemas y las políticas de seguridad. Si siempre
realizamos la gestión de riesgos periódicamente con la misma metodología, podremos
comparar los resultados obtenidos.
OBJETIVOS
Hay varias aproximaciones al problema de analizar los riesgos soportados por los sistemas TIC,
como pueden ser guías informales, aproximaciones metódicas y herramientas de soporte.
Todas buscan objetivar el análisis de riesgos para saber cuán seguros (o inseguros) son los
sistemas y no llamarse a engaño. El gran reto de todas estas aproximaciones es la complejidad
del problema al que se enfrentan; complejidad en el sentido de que hay muchos elementos
que considerar y que, si no se es riguroso, las conclusiones serán de poco fiar. Es por ello que
en Magerit se persigue una aproximación metódica que no deje lugar a la improvisación, ni
dependa de la arbitrariedad del analista, segun esto.
Magerit persigue los siguientes objetivos:

Concientizar a los responsables de los sistemas de información de la existencia de
riesgos y de la necesidad de atajarlos a tiempo.

Ofrecer un método sistemático para analizar tales riesgos.

Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo
control.

Preparar a la Organización para procesos de evaluación, auditoría, certificación o
acreditación, según corresponda en cada caso.
Ventajas de Magerit: Las decisiones que deban tomarse y que tengan que ser validadas por la
dirección estarán fundamentadas y serán fácilmente defendibles
Desventajas de Magerit: El hecho de tener que traducir de forma directa todas las valoraciones
en valores económicos hace que la aplicación de esta metodología sea realmente costosa
ESTRUCTURA



Elementos: Proporcionan los componentes del sistema (Activos, Amenazas,
vulnerabilidades, Impacto, Riesgo, Salvaguardas)
Eventos: Relaciona los elementos entre si y con el tiempo.
Procesos: Describe el proyecto de seguridad a construir en cuatro etapas
(Planificaciones, Análisis de riesgo, Gestion de riesgos, Selección de mecanismo de
salvaguardas)
CARACTERISTICAS
A continuación se presentan las caracteristicas más importantes que deben tenerse en cuenta
para MAGERT:
AMENAZAS aquellos incidentes que pueden generar daño en la organización produciendo
pérdidas materiales o inmateriales
RIESGOS El riesgo se reconoce como una posibilidad de que exista un impacto negativo en un
Activo o Dominio.
VULNERABILIDADES la relación entre un activo y una amenaza. Se expresa con valores
decimales extremos (0 y 1), donde 0= la amenaza no alcanza al activo y 1= no alcanzable,
agresión permanente.
SALVAGUARDIAS O CONTROLES acción que reduce un riesgo mientras que el mecanismo
salvaguarda es el dispositivo capaz de reducir el riesgo.
NIVELES
VERSIÓN 1.0 (1997) análisis de riesgos se ha consolidado como paso fundamental para la
gestión de la seguridad informática
VERSIÓN 2.0 Introdujo nuevas alternativas para medir los activos, intenta diferenciar de
manera más contundente lo que es esencial y permanente, de lo que es coyuntural
VERSIÓN 3.0 (2012) organizado en tres libros, enfatiza en el desarrollo de nuevas aplicaciones.
PRINCIPOS
MANDATO Y COMPROMISO Responsabilidad fuerte y sostenido de la dirección y la planeación
estratégica de este.
DISEÑO DEL MARCO DE TRABAJO comprensión de la organización y su contexto, políticas de
riesgo, obligación de informes, interacción de procesos, recursos, mecanismos internos y
externos de comunicación e información.
IMPLEMENTACION DE LA GESTIÓN DE RIESGOS implementación de marco de trabajo y
procesos adecuados para la gestión de riesgos.
SEGUIMIENTO Y REVISIÓN DEL MARCO verificación de los procesos de la gestión de riesgos y al
control de los mismos.
MEJORA CONTINUA DEL MARCO Comprende marcos estratégicos para la mejora continua de
la gestión de riesgos mediante la planificación, el hacer, verificar y actuar
ANÁLISIS Y GESTIÓN DE RIESGOS La metodología MAGERIT realiza diferentes actividades
enfocadas a los activos informáticos, que posee la entidad para el tratamiento de la
información. Si dicha información es valiosa y muy relevante Esta metodología permitirá saber
el valor que representa y posteriormente aplicar las medidas necesarias para protegerlo, se
debe conocer el riesgo al que están sometidos los elementos de trabajo para lo cual es
imprescindible para poder gestionarlos.
CONCLUCION
Esta metodología interesa a todos aquellos que trabajan con información digital y sistema de
información para tratarla. Si estos son valiosos, Magerit permitirá saber cuanto valor esta en
juego y ayudara a protegerlo, además de conocer el riego al que están sometidos los
elementos de trabajo lo cual es imprescindible para poder gestionarlos.
Con Magerit se persigue una aproximación metódica que que no deje lugar a la improvisación,
ni dependa de la arbitrariedad del analista.
BIBLIOGRAFIA
https://es.wikipedia.org/wiki/Magerit
https://www.gaizka.net/2018/06/introduccion-magerit.html
http://seguridadmagerit.blogspot.com/2015/07/objetivos-principales-de-magerit.html
https://asijav.weebly.com/auditoria-de-sistemas-de-informacioacuten/magerit-v3metodologa-de-anlisis-y-gestin-de-riesgos-de-los-sistemas-de-informacin
http://kathe-sistemasdeinformacion.blogspot.com/2015/10/magerit.html
Descargar