Home / Ciberseguridad / Magerit / PRIVACIDAD / Riesgos / Gestionando los Riesgos con MAGERIT

Gestionando los Riesgos con MAGERIT

, , ,

 

MAGERIT es la Metodología de Análisis y GEstión de Riesgos de IT de la Agencia Estatal de Administración Digital con la colaboración del Centro Criptológico Nacional (CCN) en España.

Es una metodología de carácter público que puede ser utilizada libremente, y conforme la norma ISO 31000, MAGERIT responde a lo que se denomina “Proceso de Gestión de los Riesgos”. Se puede descargar en tres idiomas (español, inglés e Italiano) y figura en el inventario de métodos de análisis y gestión de riesgos de ENISA (Agencia de la Unión Europea para la Ciberseguridad): 

https://www.enisa.europa.eu/publications/compendium-of-risk-management-frameworks

En este artículo vamos a ver algunos conceptos de forma resumida que ayudarán a entender de forma sencilla como gestionar los Riesgos conforme esta metodología.

Hay que considerar los siguientes conceptos:

Activos, son los elementos del sistema de información que queremos proteger. Los activos están relacionados, ya que unos dependen de otros. Un proceso muy importante es detectar aquellos que sean críticos para la organización con sus dependencias. Pueden ser la imagen de la organización (consecuencias en el valor bursatil, consecuencias políticas, clientes etc.), los datos, los servicios ofrecidos, hardware, elementos de comunicación, software etc. 

Una estructura típica por capas podría ser:


De forma similar, podríamos adoptar un modelo TOGAF (The Open Group Architecture Framework) de Arquitectura Empresarial que encajaría muy bien para la organización de activos.


Amenazas, las cosas que les pueden pasar a los activos causando un perjuicio a la Organización. Las amenazas sobre activos inferiores, afectarán a los activos superiores. Por ejemplo, cibermenazas: inundación, fallo en el sistema eléctrico, error de software, pandemia, virus informáticos etc. Lógicamente, se gestionan aquellas amenazas que tengan una probabilidad de ocurrencia.

Salvaguardas (o contra medidas), que son medidas de protección desplegadas para que aquellas amenazas reduzcan o mitiguen las probabilidades de ocurrencia, minimicen o eliminen el impacto, o ambas. Por ejemplo, un casco reduce el impacto en un accidente de moto, unos buenos frenos reducen la probabilidad de accidente. 

Las salvaguardas tienen un valor asociado y no pueden costar más que el valor del activo que protegen.

Al igual que los activos, las contramedidas pueden ser muy variadas: sistemas antincendio, grupos electrógenos, sistemas de alimentación ininterrumpida, sistemas de respaldo, antivirus, EDR, SIEM, buena gestión de actualizaciones de productos, análisis automático del código, metodologías de desarrollo etc.

Impacto: lo que podría pasar al activo sobre una o varias dimensiones de seguridad: Autenticidad, Confidencialidad, Integridad, Dispobibilidad o Trazabilidad. El impacto acumulado será el propio del activo sumando el de los activos que dependen de él. El impacto repercutido será el propio del activo.

Por ejemplo, un Ramsomware de un servidor de archivos en una organización, no solo impacta en los sistemas informáticos, afectará a la buena imagen, las funciones de la organización, la disponibilidad de los servicios, impacto económico etc. El impacto acumulado será la suma de todos ellos.

Riesgo: El riesgo en MAGERIT es la ponderación del impacto con la probabilidad de que se materialice una amenaza, es decir, la medida del daño probable. A más probabilidad o impacto, mayor riesgo.

En el Análisis de Riesgos se obtiene de la información para tomar decisiones conociendo lo que se quiere proteger, activos valorados, de la amenazas valoradas y qué hemos hecho por protegerlo, salvaguardas valoradasLa gestión es tomar decisiones críticas para implementar e invertir en las salvaguardas aceptando un cierto nivel de riesgo residual.

Básicamente, en la gestión se realizan las siguientes tareas:

Evaluación: interpretación de los valores de impacto y riesgo residuales. Prestar cuidadosa atención a esta relación de tareas pendientes, que se denomina Informe de Insuficiencias o de vulnerabilidades.
Aceptación del riesgo: La Dirección de la Organización sometida al análisis de riesgos debe determinar el nivel de impacto y riesgo aceptable. Estos niveles de aceptación se pueden establecer por activo o por agregación de activos. Cualquier nivel de impacto y/o riesgo es aceptable si lo conoce y acepta formalmente la Dirección. En el Tratamiento del Riesgo la Dirección puede decidir aplicar algún tratamiento al sistema de seguridad desplegado (actualizar las salvaguardas) para proteger el sistema de información actual, es decir, mantener o reducir el riesgo residual (aceptar un menor riesgo) o incluso ampliar el riesgo residual (aceptar un mayor riesgo). 


La seguridad al 100% no existe, por lo que cobran importancia los marcos de trabajo y metodologías para el análisis y la gestión de los riesgos IT, de tal forma que se protegan los activos de una forma razonable, con un coste real y asumiendo riesgos residuales. Adicionalmente, estos marcos de trabajo serán necesarios para el cumplimiento de normativas de seguridad como la Directiva NIS2 o el Reglamento DORA.


https://administracionelectronica.gob.es/ctt/magerit

https://www.incibe.es/sites/default/files/contenidos/dosieres/plan-director-seguridad/plan_director_de_seguridad_metodologias_analisis_de_riesgos.pdf

https://www.enisa.europa.eu/sites/default/files/publications/ENISA%20Report%20-%20Compendium%20of%20Risk%20Management%20Frameworks%20with%20Potential%20Interoperability.pdf



Gestionando los Riesgos con MAGERIT Gestionando los Riesgos con MAGERIT Reviewed by Bloginnova on mayo 04, 2025 Rating: 5

You May Also Like

Con la tecnología de Blogger.