ISO 27001 ¿Cuáles son las técnicas utilizadas durante el proceso MAGERIT?
ISO 27001
La guía de las técnicas de MAGERIT ofrece todas las claves para conocer y seleccionar las técnicas más adecuadas en cada proyecto de seguridad en el Sistema de Seguridad de la Información ISO 27001, es esta se describe:
- Todos los tipos de técnicas utilizadas durante las actividades de los procesos MAGERIT.
- Los tipos de proyectos según el Sistema de Gestión de Seguridad de la Información ISO27001 que dan a conocer las actividades y las técnicas más adecuadas.
Tipos de técnicas utilizadas
En la guía de procedimientos se tipifican 21 técnicas para poder realizar las tareas de los modelos de procesos, como pueden ser:
- Comunes: Métrica o eurométodo
- Específicas: AGAR o complementarias.
La aplicación puede hacerse de una forma automatizada, manual o mixta.
La guía detalla de forma básica todas las técnicas específicas, aunque ofrece también referencias sobre la descripción de las técnicas comunes y las complementarias, ya que las encontramos en otras guías que son de fácil acceso.
Vamos a ver algunos ejemplos de los diferentes tipos de técnicas:
Técnicas comunes
- De entrevistas
- De factores críticos
- De análisis de coste-beneficio
- De factores situacionales
- Diagrama de flujo
- Modelar datos
- Planificar proyectos
- Matrices
Técnicas específicas
- Matrices
- Algoritmos
- Avanzadas
- Experiencia
Técnicas complementarias
- Asignar presupuestos y seleccionar personal
- Delphi
- Estadística
- Simular
- Elaborar cuestionarios
- Graficas
- Dirección y gestión de proyectos
- Elaborar informes
- Presentaciones
La adaptación al método MAGERIT es un dominio muy concreto en el que se realiza la selección de tareas. La selección de tareas se realizar utilizando las técnicas que lo soportan. Si dicha tarea facilita la utilización de técnicas que atiendan a la complejidad y a la limitación de recursos para su aplicación. Todas las técnicas de la guía pueden ser utilizadas sin ayuda de automatización del proceso, pero la aplicación de forma repetida recomienda la utilización del empleo de herramientas que se automatizan de forma amplia y cuando sea posible.
El nivel de la descripción de cada técnica asume cierto grado de equilibrio:
- Se tiene que aplicar de forma manual, aunque presente alguna dificultad.
- Se tiene que constituir de forma lógica la utilización de las herramientas. Como éstas son específicas de cada fabricante, la guía está limitada a ofrecer una serie de técnicas alternativas, con distinto alcance y orientaciones que ayudan a construir diferentes herramientas.
Herramientas que apoya al método MAGERIT
Gran parte de las técnicas son difíciles de manejar de forma manual y la prácticas necesitan del apoyo de alguna herramienta. Las técnicas específicas de análisis y gestión riesgos forman parte de los núcleos posibles de las herramientas que apoyan a MAGERIT. Se tienen que incluir buena parte de las diferentes técnicas comunes y son complementarias para mejorar la eficacia y coherencia.
MAGERIT tiene cinco herramientas específicamente producidas para apoyarlo:
- Ministerios de administraciones públicas y de presidencia que se editaron en el año 1997.
- Ministerio de administraciones públicas y el consejo superior de informáticas que difunden bajo su permiso el control de la serie limitada de las herramientas de nivel 2, por lo que es especialista en riegos que pueden aplicar el método de profundidad.
- Herramienta de nivel 2, se adapta a los diferentes riesgos en los proyectos del año 2000 con el nombre de KIS2K.
- Aplicación de MAGERIT que proporciona una hoja de cálculo en la que se puede visualizar los diferentes algoritmos que contiene la herramienta.
- Otra herramienta es “Chinchón v.1.3.” que se encuentra orientada a la siguiente versión del método MAGERIT.
Criterios para clasificar los proyectos
Los proyectos que se encuentran modelados por MAGERIT se encuentran adaptados a las diferentes situaciones, utilizando una clasificación de proyectos para el Sistema de Gestión de Seguridad de la Información ISO-27001:
Envergadura del riesgo: esto implica utilizar diferentes criterios, en los que se incluya el coste/beneficio. Es por esto que MAGERIT se modula en función:
- De la complejidad
- De la incertidumbre
- Del tipo de estudio más adecuado
- De la granularidad que se adopta
La situación durante el “ciclo” de estudio, ya que MAGERIT se puede aplicar según:
- Al marco estratégico
- Analizar diferentes grupos de diferentes activos
- Gestionar los riesgos más activos
- Determinar los mecanismos para salvaguardar los activos
Aplicaciones para la seguridad, según los requisitos específicos del “promotor” que dará lugar a las diferentes tipificaciones orientadas a:
- La seguridad lógica
- Seguridad de redes
- Los planes de contingencia
- Estudios técnicos para homologar los diferentes sistemas
- Realizar una auditoría de seguridad
Los diferentes submétodos que pueden ser utilizados en la especialización sectorial, que además se pueden simplificar de una forma amplia.
Las diferentes aplicaciones de seguridad son entendidas como las clases de funcionalidades de los diferentes criterios de evaluación de seguridad en las diferentes tecnologías de información. Por criterios europeos ITSEC las siglas, las metas y los objetivos de dichas clases son:
- F-IN, para sistemas que requieren de altos requisitos en cuanto a la integridad de los datos y los programas.
- F-DI, para sistemas con altos requisitos de integridad de los datos durante el intercambio.
- F-DC, para sistemas con elevados requisitos de confidencialidad de los datos que se realizan durante el intercambio.
- F-DX, para sistemas con elevados requisitos de confidencialidad e integridad de los datos que se realizan durante el intercambio.
- F-AV, para sistemas con elevados requisitos de disponibilidad en el conjunto esencial de sus funciones.
Software para Sistema de Gestión de Seguridad de la Información
El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de las diferentes fases del ciclo de mejora continua.