MAGERIT:

METODOLOGÍA DE ANÁLISIS Y
GESTIÓN DE RIESGOS

ADRIÁN BECERRIL CRESPO

TRABAJO DE CALIDAD Y AUDITORÍA
GRADO EN INGENIERÍA INFORMÁTICA
03/01/18
1. CONCEPTO MAGERIT….…………………………………………………………………… pág. 3

2. OBJETIVOS MAGERIT….……………………..…………………………………………... pág. 3

3. ESTRUCTURACIÓN MAGERIT…………………………………………………..……… pág. 3-4

4. METODO MAGERIT ……………………………………………………….…..…....…… pág. 4-9

4.1 Análisis de riesgos ………………………………………………………………… pág. 4-8

4.2 Gestión de riesgos ………………………………………………………………… pág. 8-9

5. BIBLIOGRAFIA ………………………………………………………………………....…… pág. 10

1. CONCEPTO MAGERIT
MAGERIT es una metodología de análisis y gestión de riesgos de los Sistemas de Información
que ha sido elaborada por el Consejo Superior de Administración Electrónica para minimizar
los riesgos del uso de las Tecnologías de la Información, enfocada a las Administraciones
Públicas.

Surge como respuesta a la percepción de que la administración depende cada vez más de las
tecnologías de la información. Las tecnologías de la información son el conjunto de procesos y
equipos relacionados con el almacenamiento, procesamiento, protección, monitoreo,
recuperación y transmisión digitalizada de la información. Estas tecnologías otorgan diversos
beneficios a los ciudadanos (principalmente, mejorar el manejo de la información), sin
embargo, también conllevan grandes riesgos que deben minimizarse con medidas de
seguridad que generen confianza en su uso.

Por tanto, la metodología MAGERIT es bastante útil para cualquier Organización que dependa
de los sistemas de información para cumplir su misión. Si la información mecanizada tiene
valor, esta metodología permitirá conocer cuánto de este valor está en peligro y cómo
protegerlo.

2. OBJETIVOS MAGERIT
MAGERIT tiene diversos objetivos que pueden ser recogidos en dos categorías:

• Objetivos directos:

 Concienciar a las personas responsables de los sistemas de información del

valor de la información que se maneja y de la existencia de riesgos.
 Proporcionar un método sistemático para poder analizar dichos riesgos.
 Servir como ayuda para identificar y llevar a cabo las medidas oportunas para
mantener bajo control los riesgos.

• Objetivos indirectos:

 Apoyar a la Organización en los procesos de evaluación, auditoría,

certificación o acreditación, según corresponda en cada caso.

3. ESTRUCTURACIÓN DE MAGERIT
La metodología MAGERIT se ha estructurado en tres libros que detallan como debe realizarse
el análisis de los riesgos:

• El primer libro describe “El Método”. Es decir, describe detalladamente el

método de análisis y gestión de los riesgos. Esta descripción, se realiza
cumpliendo lo que propone ISO en cuánto a la gestión de los riesgos.

3
 • El segundo libro complementa al primero describiendo un Catálogo de
Elementos. Este catálogo proporciona un inventario para poder aplicar la
metodología:

 Tipo de activos
 Dimensiones de valoración de los activos
 Criterios de valoración de los activos
 Amenazas típicas existentes en los sistemas de información.
 Controles o salvaguardas a considerar para proteger sistemas de
información.

Con esto, intenta conseguir dos objetivos:

 Proporcionar a las personas que realizan el proyecto de análisis y gestión

de riesgos elementos estándar que puedan asociar rápidamente y
centrarse así en lo específico del sistema objeto del análisis.

 Promover una terminología y unos criterios uniformes que permita

homogeneizar los resultados de los análisis de riesgos. De esta forma,
facilita comparar resultados de análisis o incluso integrar análisis que han
sido realizados por equipos distintos.

• El tercer libro describe una “Guía de Técnicas”. Esta guía proporciona una
introducción a diversas técnicas que son utilizadas habitualmente para el
desarrollo de las diferentes fases de la metodología. Se puede decir que es como
una guía de consulta en la que se recomienda al lector una u otra técnica
específica para realizar la tarea del método de análisis en la que se encuentre el
lector. Esto es un factor diferenciador de la metodología MAGERIT con respecto a
otras metodologías.

4. MÉTODO MAGERIT

El método MAGERIT describe dos grandes tareas que se combinan:

4.1. ANALISIS DE RIESGOS:

El análisis de riesgos permite conocer qué es lo que tiene la Organización y estimar que podría
ocurrir. Para ello, realiza los siguientes pasos:

1. Determinar los activos relevantes para la Organización, su interrelación y su valor (qué

coste supondría perder esos activos).
Un activo es un componente o funcionalidad de un sistema de información que resulta
necesario para que la Organización funcione correctamente y pueda alcanzar sus
objetivos de manera satisfactoria. Un sistema de información presenta 2 activos
esenciales: la información que maneja y los servicios que presta.

4
A partir de estos activos, se pueden identificar otros activos relevantes para la
Organización:

• Los datos que concretan la información.

• Los servicios auxiliares que se necesitan para poder organizar el sistema.
• Las aplicaciones informáticas (software) que permite manejar los datos.
• Los equipos informáticos (hardware) que permiten almacenar los diferentes
datos, aplicaciones y servicios.
• Los soportes de información que son dispositivos que permiten el
almacenamiento de datos.
• Las redes de comunicación que permiten intercambiar datos.
• Las instalaciones que permiten acoger los equipos informáticos y los equipos
de comunicaciones.
• Las personas que trabajan con todos los elementos anteriormente
mencionados.

Una vez identificados los activos, se tiene que determinar:

• La dependencia existente entre los diferentes activos identificados.

• Las dimensiones de cada activo. Por cada activo, se requiere calcular su:
 Confidencialidad: ¿qué daño provocaría que el activo fuese conocido
por alguien que no debe?
 Integridad: ¿qué daño provocaría que el activo estuviera corrupto?
 Disponibilidad: ¿qué daño provocaría no tener el activo o no poder
utilizarlo?
En caso de que sea un activo esencial, es conveniente estimar además su:
 Autenticidad: ¿qué daño provocaría no tener la seguridad de saber
exactamente quien hace o ha hecho cada cosa?
 Trazabilidad: ¿qué daño provocaría no llevar un seguimiento de quien
tiene o ha tenido acceso al activo?

• Valor cualitativo: permite posicionar el valor de cada activo en un orden

relativo con respecto de los demás. La limitación de este tipo de valoración es
que no se pueden comparar valores más allá de su orden relativo. No se
permite sumar valores.

• Valor cuantitativo: permite sumar valores numéricos de forma natural y la

interpretación de estas sumas no provoca ninguna discusión.

• Valor de interrupción: permite escenificar la evolución del daño que sufre un

activo a medida que aumenta su tiempo de interrupción.

5
2. Determinar las amenazas a las que están expuestos los activos identificados
anteriormente.
Se entiende por amenazas las cosas que pueden ocurrir y que, de ocurrir, podrían
dañar a nuestros activos. Las amenazas más habituales son:

• De origen natural: accidentes naturales como terremotos, tormentas, viento…

• De origen industrial: accidentes industriales como fallos eléctricos,

contaminación…

• De origen humano:

o Involuntarias: las personas con acceso al sistema de información pueden

cometer errores.

o Voluntarias: las personas con acceso al sistema de información pueden

ocasionar problemas de manera voluntaria con la intención de
beneficiarse indebidamente o bien con la intención de hacer daño.

Una vez que se identifican las amenazas para un activo, se procede a estimar cuán
vulnerable es el activo para cada amenaza. Para ello, se estima su:

• Degradación: si la amenaza se produjese, en que medida resultaría

perjudicado el activo.

• Frecuencia: cada cuánto se produce la amenaza.

3. Determinar que contra medidas o salvaguardas hay disponibles.

Las salvaguardas son aquellos procedimientos tecnológicos que tienen como objetivo
minimizar la frecuencia de las amenazas y limitar el daño causado cuando se
materializan las amenazas. Se debe tener en cuenta a la hora de aplicar una
salvaguarda que el coste de la salvaguarda debe ser proporcional al riesgo que se
quiere proteger, de lo contrario no se justificaría su aplicación.

Cuando calculamos el impacto y riesgo potencial, no se tienen en cuenta las

salvaguardas desplegadas. Por tanto, se miden los impactos y riesgos a los que
estarían expuestos los activos si no tuviesen ningún tipo de protección.

4. Una vez que hemos identificado los activos, las amenazas y los salvaguardas, podemos
estimar:

• El impacto de la materialización de las amenazas sobre los activos.

Se denomina impacto al grado de daños que se produciría en un activo si se

materializase al menos una de sus amenazas.

6
 Podemos distinguir dos tipos de impactos:

 Impacto potencial: cuando no existen salvaguardas desplegadas y se

quiere calcular el impacto de un activo, se calcula el impacto potencial.
Normalmente esto se hace antes de determinar las salvaguardas. Por
motivos organizativos lo hemos incluido aquí. Hay dos tipos de impactos
potenciales:

➢ Impacto potencial acumulado: impacto calculado sobre un activo

teniendo en cuenta el valor propio más el acumulado de los activos
que dependen de él y la degradación causada por las amenazas a las
que está expuesto. Permite determinar las salvaguardas que hay que
desplegar sobre los medios de trabajo.
➢ Impacto potencial repercutido: impacto calculado sobre un activo
teniendo en cuenta su valor propio y la magnitud de degradación de
las amenazas a las que están expuestos los activos de los que
depende. Permite tomar la decisión crítica de aceptar un cierto nivel
de riesgo.

 Impacto residual:

Un sistema se encuentra en una situación de posible impacto residual

cuando existe un conjunto de salvaguardas desplegadas. Si esto se
produce, se dice que hemos modificado el impacto de un valor potencial a
un valor residual. Para el cálculo del impacto residual, se repiten los
cálculos realizados para calcular el impacto potencial, pero utilizando la
nueva magnitud de degradación de los activos que tiene en cuenta la
eficacia de las salvaguardas.

• El riesgo.

Se denomina riesgo a la probabilidad de que una amenaza se materialice. Esta

medida es calculada teniendo en cuenta el impacto de la materialización de las
amenazas sobre los activos y la probabilidad de que se produzcan dichas
amenazas. De esta forma, el riesgo aumenta a medida que aumenta el impacto y
la probabilidad.
Podemos distinguir dos tipos de riesgos:

 Riesgo potencial: cuando no existen salvaguardas desplegadas y se quiere

calcular el riesgo, se calcula el riesgo potencial. Normalmente esto se hace
antes de determinar las salvaguardas y después de calcular el impacto
potencial. Por motivos organizativos lo hemos incluido aquí. Hay dos tipos
de riesgos potenciales:

7
 ➢ Riesgo potencial acumulado: riesgo calculado sobre un activo
teniendo en cuenta el impacto acumulado sobre el activo debido a
una amenaza y la probabilidad de la amenaza. Permite determinar las
salvaguardas que hay que desplegar sobre los medios de trabajo.

➢ Riesgo potencial repercutido: riesgo calculado sobre un activo

teniendo en cuenta el impacto repercutido sobre el activo debido a
una amenaza y a la probabilidad de la amenaza. Permite tomar la
decisión crítica de aceptar un cierto nivel de riesgo.

 Riesgo residual:

Un sistema se encuentra en una situación de riesgo residual cuando existe

un conjunto de salvaguardas desplegadas. Si esto se produce, se dice que
se ha modificado el riesgo, desde un valor potencial a un valor residual.
Para el cálculo del riesgo residual, se repiten los cálculos realizados para
calcular el riesgo potencial, pero utilizando el impacto residual y la
probabilidad residual de ocurrencia de la amenaza.

4.2. GESTIÓN DE RIESGOS

La gestión de riesgos, en base a todos los resultados obtenidos durante el análisis de riesgos,
consiste en tomar decisiones para poder suprimir o bien reducir los riesgos que se han
identificado. Estas decisiones las tomarán los órganos de gobierno después de interpretar los
valores de impacto y riesgo residuales obtenidos durante el análisis de riesgo.

Se pueden tomar 3 decisiones:

• Aceptación del riesgo:

La Dirección de la Organización acepta las responsabilidades de las insuficiencias

en la protección del sistema de información para el riesgo. Esto es, determinar el
nivel de impacto y riesgo aceptables.

• Tratamiento:

La dirección puede aplicar un tratamiento al riesgo para proteger el sistema de

información. Tratar un riesgo conlleva siempre un nuevo análisis de riesgos. Se
pueden dar 3 tipos de tratamientos:

 Eliminación: consiste en eliminar directamente la fuente de un riesgo que no

es aceptable. Sin embargo, no podemos eliminar componentes esenciales
que constituyen la misión de la Organización. Normalmente se intenta
prescindir de componentes no esenciales qué contribuyen en la misión de la
Organización pero que no son constituyentes de la misma.

8
  Mitigación: consiste en reducir la degradación causada por una amenaza o
bien en reducir la probabilidad de que la amenaza se materialice. En ambos
casos, se requiere ampliar o mejorar el conjunto de salvaguardas. Esto se
traduce en desplegar más equipamiento que lo convierte a su vez en un
activo del sistema. Por tanto, debemos repetir el análisis de riesgos estando
seguros de que las salvaguardas efectivamente reducen el riesgo de la
Organización.

 Compartición: consiste en compartir el riesgo. Se puede compartir riesgo de

dos formas:

➢ Riesgo cualitativo: se comparte a través de la externalización de

componentes del sistema repartiendo así las responsabilidades.

➢ Riesgo cuantitativo: se comparte a través de la contratación de

seguros, de manera que la Organización reduce el impacto de las
posibles amenazas y el asegurador corre con las consecuencias.

Después de compartir riesgos, los componentes del sistema cambian, por

tanto, es necesario un nuevo análisis del sistema.

• Estudio de costes/beneficios: permite determinar si la medida preventiva supone

una disminución considerable de oportunidades o de la productividad.
Normalmente, cuando subimos el grado de seguridad, el riesgo disminuye,
mientras que el coste en la inversión de salvaguardas aumenta. La Organización
debe tender a alcanzar un equilibrio entre lo que se arriesga y lo que se invierte
en defensa. Una Organización debe intentar reducir el riesgo todo lo que pueda,
pero no debemos olvidarnos de que el principal objetivo para el que nace una
Organización es ganar dinero.

La gestión de los riesgos debe ser documentada y quedará recogida en un plan de seguridad.
Este plan debe recoger:

• Descripción de la medida a implantar

• Identificación de la persona responsable de realizar dicha medida
• Asignación de los recursos a los que afectará la medida
• Planificación de la fecha para la implantación de la medida

De esta forma, la Organización puede llevar un seguimiento del mismo para así comprobar que
las pautas marcadas en el plan se están cumpliendo de acuerdo con la planificación establecida
y para la verificación en las próximas iteraciones del análisis de riesgos de que se alcanzan los
niveles de riesgos adecuados.

9
BIBLIOGRAFÍA

https://www.securityartwork.es/2012/04/26/analisis-de-riesgos-con-magerit-en-el-ens-ii/

https://www.ccn-cert.cni.es/documentos-publicos/1789-magerit-libro-i-metodo/file.html

https://www.welivesecurity.com/la-es/2013/05/14/magerit-metodologia-practica-para-
gestionar-riesgos/

https://www.securityartwork.es/2012/03/30/introduccion-al-analisis-de-riesgos-
metodologias-i/

https://www.securityartwork.es/2012/04/26/analisis-de-riesgos-con-magerit-en-el-ens-ii/

http://temariotic.wikidot.com/magerit-version-2

https://es.scribd.com/document/72079710/MAGERIT-v2-Metodologia-de-Analisis-y-Gestion-
de-Riesgos

10