Uniformidad de los informes de hallazgos y conclusiones según MAGERIT

MAGERIT es una metodología desarrollada en España por el Ministerio de Administraciones Públicas, que estudia los riesgos soportados por los Sistemas de Información para recomendar aquellas medidas más encaminadas a controlar su impacto. Sus objetivos básicos son, en primer lugar, concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de que éstos sean controlados antes de que se materialicen; en segundo lugar, ofrecer un método sistemático para el análisis de dichos riesgos; en tercer lugar, ayudar a descubrir y planificar medidas oportunas para mantener los riesgos bajo control; y en cuarto lugar, ayudar a la Organización para que ésta se encuentre preparada para procesos de evaluación, auditoría, certificación y acreditación.
Por otra parte, CCTA Risk Analysis Management Methodology, también conocida como CRAMM, es una metodología desarrollada en 1985 por la Agencia Central de Computación y Telecomunicaciones del Gobierno del Reino Unido, que utiliza técnicas cualitativas para el análisis y gestión de riesgos. La desventaja frente a MAGERIT es que CRAMM no incorpora la medida de la eficacia de las salvaguardas. Posteriormente, en el mercado se desarrolló una herramienta comercial, alineada con CRAMM y denominada Insight Consulting Limited que es de gran utilidad para demostrar conformidad con el estándar BS7799.

CRAMM se desarrolla en tres etapas distintas, a las que se asocian una serie de cuestionarios, objetivos y guías.
Para finalizar con esta primera parte, mencionaremos también el proceso de Gestión de Riesgos en Seguridad de Microsoft, denominado The Security Risk Management Guide, concebido como un proceso continuo compuesto por cuatro fases: identificación y priorización del riesgo en el negocio; dirigir la toma de decisiones en función de un proceso de análisis de costes vs beneficios; implementación de los controles orientados a mitigar los riesgos en el negocio; y medición de la efectividad del programa, mediante el desarrollo de un scorecard de riesgos y la medida de la eficacia de los controles.

En conclusión, por tanto, podemos afirmar que cualquier metodología de análisis de riesgos conlleva de forma implícita una identificación / inventario de activos, una reflexión sobre el posible catálogo de amenazas que pueden afectar a los mismos, la medición de su impacto y probabilidad de ocurrencia, así como una recomendación final sobre las salvaguardas más apropiadas para minimizar el riesgo.

No obstante, existen otras consideraciones a tener en cuenta, ya que la elección de la metodología no es, en absoluto, garantía de éxito. En primer lugar, es de vital importancia que en el momento de realizar el catálogo de amenazas, se cuente con un grupo de personas representativo. Esto significa que dicho catálogo no puede ser realizado únicamente por el Responsable de Seguridad, sino que es necesaria la colaboración de otras personas, desde los técnicos que administran los sistemas de información, y se enfrentan a los problemas del día a día, hasta los que conocen el negocio, diseñan la estrategia y tienen una visión de lo que es importante para la compañía y aporta valor.

Por ello, es altamente recomendable crear un grupo de trabajo en el que un equipo de personas no necesariamente muy numeroso pero sí suficientemente heterogéneo aporte ideas sobre posibles amenazas que puedan afectar a la seguridad de los activos de la compañía, y que lo hagan con una visión holística, no centrada en los propios sistemas internos, sino también considerando qué otras situaciones pueden poner en peligro la operación. Al igual que es importante conocer qué activos debemos proteger, también lo es saber cuáles son las dependencias establecidas, por ejemplo qué ocurriría si un determinado proveedor no está en disposición de continuar dándonos servicio, debido a cualquier circunstancia.

Por el mismo motivo, es importante conocer el negocio de nuestros clientes, y prender en profundidad cuán crítico para ellos representa el servicio que les ofrecemos. De poco servirá que tengamos unos sistemas de información bien protegidos ante una serie de amenazas, si en el momento crítico no somos capaces de continuar dando servicio a nuestros clientes, debido a que dimos más prioridad a procesos internos que, siendo necesarios, no aportan tanto valor. Al igual que al establecer nuestro análisis de riesgos hemos de tener en cuenta las dependencias con respecto a nuestros proveedores, hemos de considerar también que el servicio que damos a nuestros clientes puede ser crítico para ellos y, al menos, habremos de comprender su negocio con el fin de establecer prioridades convenientemente.

Por tanto, como conclusión podemos afirmar que el análisis de riesgos es el fundamento en la gestión de la seguridad, pues determina en gran medida hacia dónde se encaminarán nuestros esfuerzos, y que para llevarlo a cabo es necesario utilizar una metodología que nos resulte adecuada y, a ser posible, no demasiado compleja, y que para su desarrollo es de vital importancia considerar, además de nuestros sistemas de información, las posibles dependencias que se establecen con terceros.