Confrontación entre MAGERIT V3 y la adaptación propuesta

Con el fin de aclarar la magnitud de los aportes hechos por esta adaptación de la metodología MAGERIT V3, a continuación, la Tabla 5.1 expone una comparación entre la versión original y la versión adaptada.

ASPECTO A EVALUAR VERSIÓN

ORIGINAL

VERSIÓN ADAPTADA Provee un esquema para la clasificación de la información que

contemple el contexto del caso de estudio. NO SI Define una organización, para operar la gestión de riesgos de

la SI, que considere la estructura funcional de la Universidad del Cauca.

NO SI

Define criterios para la valoración de activos. PARCIAL SI Define criterios para la valoración de amenazas. NO SI Define criterios para la evaluación del riesgo. NO SI Define criterios para el tratamiento del riesgo. NO SI Define criterios para valorar las salvaguardas. NO SI Cumple los requerimientos de la norma ISO/IEC 27001 [2], al

garantizar que las salvaguardas (controles) se seleccionarán solamente después de haber estimado y priorizado los riesgos

NO SI

Tabla 5.35. Confrontación entre MAGERIT V3 y la adaptación propuesta

123

Capitulo 6

Validación de la solución

Durante esta cuarta etapa del desarrollo del proyecto se ejercita la solución y se corrigen los errores detectados. De acuerdo con lo anterior, se usa el MARA, producto de las adaptaciones hechas a la metodología MAGERIT V3, para ejecutar la fase 4 del proceso de planeación de un SGSI: Valoración del riesgo y planeación del tratamiento del riesgo66_.

Los resultados, obtenidos de usar el MARA para ejecutar la fase 4 del proceso de planeación de un SGSI, son expuestos por la sección 6.1. Por recomendaciones de [68]: un estudio observacional conducido sobre una empresa de desarrollo de Software, los resultados serán representados por diagramas de tartas, también conocidos como gráficos circulares. De esta manera se logra satisfacer el entregable:

Reportes de la valoración del riesgo, requerido por la fase 4 del proceso de planeación de un SGSI.

A medida que se ejercita la adaptación se logra evaluar su desempeño como mecanismo para la gestión de riesgos, permitiendo identificar algunos defectos en su formulación, los cuales son expuestas por la sección 6.2. Luego, con base en las fallas identificadas por la sección 6.2, se realizan los respectivos ajustes a la guía de recomendaciones sobre la adaptación de la metodología MAGERIT V3 como mecanismo para la gestión de riesgos de la SI en procedimientos que, como el caso de estudio, sean los encargados de gestionar proyectos de investigación en la Universidad del Cauca.

Finalmente, cabe mencionar que los autores de [64] proponen el uso de las encuestas como solución a la poca validación empírica de los estudios relacionados con las ciencias de la computación. En razón de lo expuesto y para terminar de validar la adaptación propuesta, fue necesario realizar una serie de encuestas para someter a la adaptación a la evaluación por parte de expertos y por parte del usuario de la misma.

124 Validación de la solución

6.1. Ejercitación de la solución

A continuación, las secciones 6.1.1, 6.1.2, 6.1.3 y 6.1.4 exponen los resultados de ejecutar cada una de las tareas formuladas por el MARA que, de acuerdo con el mapeo ilustrado por la Tabla 6.1, lograron satisfacer todas las actividades y entregables definidos por la fase 4 del proceso de planeación de un SGSI.

TAREAS DEFINIDAS POR EL MARA

ACTIVIDADES DEFINIDAS POR LA FASE 4 DEL PROCESO DE

PLANEACION DE UN SGSI MARA.1. Caracterización de los activos.

MARA.2. Caracterización de las amenazas. MARA.3. Estimación del estado del riesgo.

 Valorar el riesgo

MARA.4. Caracterización de las salvaguardas

 Seleccionar los objetivos de control y los controles.  Obtener aprobación para

implementar y operar el SGSI.

6.1.1. MARA.1. Caracterización de activos.

 MARA.1.1. Definir un esquema para la clasificación de la información Atendiendo las orientaciones suministradas por la sección 5.3.1, de la guía de recomendaciones sobre la adaptación de la metodología MAGERIT V3, se resuelve usar el esquema expuesto para llevar a cabo la clasificación de la información vinculada al caso de estudio.

 MARA.1.2. Definir la organización para la gestión del riesgo.

Atendiendo las orientaciones suministradas por la sección 5.3.2, de la guía de recomendaciones sobre la adaptación de la metodología MAGERIT V3, se resuelve usar la organización de roles y responsabilidades expuesta por la Tabla 3.1.

 MARA.1.3. Definir los criterios para la valoración de activos.

Atendiendo las orientaciones suministradas por la sección 5.3.3, de la guía de recomendaciones sobre la adaptación de la metodología MAGERIT V3, se resuelve usar los criterios expuestos por la Tabla 5.22.

6.1. Ejercitación de la solución 125

 MARA.1.4. Identificación de los activos.

Esta actividad considera como elementos de entrada:

 El documento [32] mediante el cual se especifica el caso de estudio.  La caracterización funcional de los puestos de trabajo, expuesta en [91].  Los locales y sedes de la Universidad identificadas por la sección 4.1.2.  El esquema para la clasificación de la información expuesto por la Tabla 5.19 Con base en lo anterior, se obtiene el inventario de activos expuesto por la sección 4.3.2 en la Tabla 4.1, logrando satisfacer el producto de salida: Relación de activos a considerar, especificado por la presente tarea. Asimismo, se abona los entregables “Activos identificados” y “Clasificación de activos”, los cuales sonrequeridos por la fase 3 del proceso de planeación de un SGSI, ilustrado por la Figura 2.2.

 MARA.1.5. Identificación de dependencias.

A la hora de identificar y diagramar las dependencias entre los activos, PILAR puede resultar de gran ayuda, no obstante, el uso de esta herramienta requiere que los activos sean agrupados por “capas”, las cuales no tienen ningún impacto en la valoración de riesgos, pues no son másque una manera de organizar los activos para una mejor comprensión y comunicación. En virtud de lo señalado, fue necesario agrupar los activos por capas como lo muestra, a continuación, la Tabla 6.2.

CAPA ACTIVOS CUBIERTOS

Activos esenciales Activos de tipo información y de tipo servicios Sistemas de información SIVRI

Soportes de información Documentos físicos

Dispositivos de almacenamiento de información digital. Equipos informáticos

Servidores

Computadores personales Fotocopiadoras multifuncionales Reloj radicador

Redes Redes de área local (LAN y WLAN)

Personal Personal

Equipos auxiliares Satélite (sistema de archivo), Equipos de climatización y UPS

Instalaciones Oficinas del personal, Cuarto de servidores y Almacenes Archivo Satélite VRI

Considerando las capas definidas anteriormente, el documento [32] mediante el cual se especifica el caso de estudio los productos de salida de la anterior tarea, el producto