MARA.4 Caracterización de las salvaguardas

MARA.4. Caracterización de las salvaguardas

MARA.4.1. Definir criterios para la valoración de salvaguardas

Según el estándar ISO/IEC 27005 [5], una vez definido el PTR, se deberá estimar los riesgos residuales a los que se enfrentará la organización después de que se implementen los controles (salvaguardas48_{) seleccionados. Según [5], lo anterior}

implica una actualización de la valoración del riesgo que considere la eficacia esperada de las salvaguardas seleccionadas.

En razón de lo expuesto, resulta necesario estimar la eficacia de las salvaguardas seleccionadas. Lamentablemente, MAGERIT V3 no define ningún criterio para tal fin, impidiendo la determinación del riesgo residual e interrumpiendo la gestión de riesgos de la SI.

Objetivo: definir los criterios para la valoración de las salvaguardas.

Productos de entrada: el esquema usado por PILAR para la determinación de la eficacia de las salvaguardas. Consultar el manual de PILAR [52].

Productos de salida: los criterios para la valoración de las salvaguardas. Guía:

En el apartado A.7, de la guía de recomendaciones sobre la adaptación de la metodología MAGERIT V3, se suministra una completa orientación en todo lo relacionado con la definición de los criterios para la valoración de las salvaguardas.

48 _{Cabe recordar que, como se mencionó en el glosario de este documento, los términos}

“salvaguarda” y “control” son equivalentes y que, por ende, pueden ser usados indistintamente.

Tabla 5.13. Descripción de la actividad MARA 3.3

94 Ejecución del proyecto

MARA.4. Caracterización de las salvaguardas

MARA.4.2. Definir criterios para el tratamiento del riesgo

Frente a las cuatro opciones de tratamiento disponibles, que se ilustran en la Tabla 2.1, resulta necesario disponer de criterios que permitan tomar decisiones reproducibles, objetivas e imparciales sobre la opción de tratamiento que se ha de aplicar a cada riesgo identificado. Lamentablemente, la metodología MAGERIT V3 no provee ningún criterio para tal fin.

Objetivo: definir los criterios para el tratamiento de los riesgos de SI.

Productos de entrada: las zonas de riesgo y demás lineamientos ofrecidos por la sección 3.1.4 del documento [22].

Productos de salida: los criterios para el tratamiento de los riesgos de SI. Guía:

En el apartado A.6, de la guía de recomendaciones sobre la adaptación de la metodología MAGERIT V3, se suministra una completa orientación en todo lo relacionado con la definición de los criterios para el tratamiento del riesgo

MARA.4. Caracterización de las salvaguardas MARA.4.3. Identificación de las salvaguardas

Con esta tarea se pretende identificar las salvaguardas necesarias para tratar los riesgos identificados por las tareas MARA.3. Estimación del estado del riesgo. Frente a las cuatro opciones de tratamiento disponibles49_{, se deberá usar los criterios}

obtenidos de la tarea MARA.4.2 con el fin de tomar decisiones reproducibles y objetivas a la hora de seleccionar la opción más adecuada para tratar cada riesgo identificado.

Objetivo: identificar las salvaguardas (controles) necesarias para tratar los riesgos a los que se encuentran expuestos los activos vinculados al caso de estudio Productos de entrada: los criterios para el tratamiento de riesgos y el Informe de

riesgo potencial, obtenido de la tarea MARA.3.3

Productos de salida: el Plan de Tratamiento de Riesgos (PTR)50

Guía:

Primero que todo, se deberá usar los criterios para el tratamiento de riesgos, definidos por la tarea MARA.3.2, con el fin de seleccionar la opción de tratamiento más adecuada para la mitigación de cada riesgo identificado por el Informe riesgo potencial, obtenido de la tarea MARA.3.3.

49 _{Las cuatro opciones de tratamiento son: modificación, retención, evitación y transferencia. Para}

mayor información, consultar la Tabla 2.1

50 _{MAGERIT V3 lo denomina como Relación de salvaguardas a desplegar o Inventario de} salvaguardas.

Descripción de la adaptación propuesta 95

Para dar cumplimiento a lo establecido por la cláusula 6.1.3 de la norma ISO/IEC 27001 [2], se recomienda que, para aquellos riesgos que se vayan a tratar mediante la opción de reducción, se seleccionen los controles que se han de implementar para llevar a cabo la reducción de los riesgos, acudiendo, como punto de referencia, a los 114 controles ofrecidos por el Anexo A de la norma ISO/IEC 27001 [2].

Por recomendación del estándar ISO/IEC 27003 [4], el PTR deberá describir claramente:

 La relación entre los riesgos y la opción de tratamiento seleccionada para su mitigación

 La relación entre los riesgos y los controles seleccionados para implementar la opción de tratamiento seleccionada (especialmente para el caso de la reducción del riesgo)

 Las prioridades para el tratamiento de los riesgos.

Cabe mencionar que la versión original excluyo todos los productos de entrada definidos por la versión original, pues ésta última estaba generando un incumplimiento a los requerimientos establecidos por la norma ISO/IEC 27001 [2], tal y como se discutió en la sección 2.3.2. En respuesta a ello, esta actividad tuvo que ser replanteada de acuerdo con los lineamientos ofrecidos por el estándar ISO/IEC 27005 [5], el cual establece que solamente se debe considerar el Informe de riesgo potencial, obtenido de la tarea MARA.3.3.

MARA.4. Caracterización de las salvaguardas MARA.4.4. Valoración de las salvaguardas

Como se discutió en la sección 5.4.1, el estándar ISO/IEC 27005 [5] establece que, una vez definido el PTR, se deberá estimar los riesgos residuales, lo cual implicará una actualización de la valoración del riesgo que considere la eficacia esperada de las salvaguardas seleccionadas. En razón de lo expuesto, resulta necesario valorar las salvaguardas de acuerdo con los criterios definidos por la tarea MARA.4.1. Objetivo: valorar las salvaguardas seleccionadas y estimar el riesgo residual al que

se enfrentarán los activos después de la implementación de las salvaguardas (controles) seleccionadas.

Productos de entrada: los criterios para la valoración de las salvaguardas, el PTR y el Informe de riesgo potencial, obtenido de la tarea MARA.3.3

Productos de salida: informe de riesgo residual Guía:

En el apartado A.7, de la guía de recomendaciones sobre la adaptación de la metodología MAGERIT V3, se suministra una completa orientación en todo lo relacionado con la valoración de las salvaguardas.

Observaciones:

96 Ejecución del proyecto

Cabe mencionar que la versión original de esta tarea establecía el producto de salida: Informe de insuficiencias, el cual fue excluido de la versión adaptada porque dicho entregable ya fue satisfecho por la sección 4.3.3: Evaluación del estado actual de la SI

MARA.4. Caracterización de las salvaguardas MARA.4.5. Aceptación de riesgos

De acuerdo con el requerimiento establecido por el inciso 6.1.3.f), con esta actividad se pretenderá obtener, formalmente, la aprobación del PTR y la aceptación de los riesgos residuales estimados por la actividad anterior.

Objetivo: Obtener aprobación del PTR y de los riesgos residuales.

Productos de entrada: el PTR y el Informe de riesgo residual obtenido de la anterior tarea

Productos de salida: la aprobación del PTR, la aceptación de los riesgos y la Declaración de Aplicabilidad (SOA).

Guía:

El jefe de División, responsable por la ejecución del caso de estudio, deberá revisar y aprobar el PTR y los riesgos residuales. Se recomienda registrar, en detalle, las condiciones asociadas a tal aprobación.

5.3. Guía de recomendaciones sobre la adaptación de