Saltar al contenido
CertENS
EN
Herramientas CCN

Análisis de riesgos con MAGERIT v3 paso a paso

Cómo ejecutar un análisis de riesgos MAGERIT v3 para ENS: identificación de activos, amenazas, salvaguardas y valoración del riesgo residual.

7 min de lectura Iván Cortés · Consultor CCN-STIC · CertENS

MAGERIT es la metodología oficial de análisis y gestión de riesgos de los sistemas de información impulsada por el Consejo Superior de Administración Electrónica, y en su versión v3 es la referencia para cumplir con la medida op.pl.1 del Anexo II del ENS. Si te toca hacer un análisis de riesgos para certificarte, entender cómo encaja MAGERIT te ahorra semanas de trabajo.

Qué es y para qué sirve

MAGERIT v3 se organiza en tres libros:

  • Libro I — Método: describe el proceso en sí.
  • Libro II — Catálogo de elementos: tipos de activos, amenazas, salvaguardas.
  • Libro III — Técnicas: técnicas analíticas complementarias.

Su objetivo es sencillo: identificar los riesgos que existen sobre los activos de tu sistema, estimar su nivel y decidir qué hacer con ellos (aceptar, mitigar, transferir o evitar). El resultado alimenta directamente la Declaración de Aplicabilidad y justifica la elección de medidas del Anexo II.

Los seis pasos del método

1. Identificación de activos

Clasificas los activos en las categorías del Libro II:

  • [D] Datos / Información: ficheros, bases de datos, backups.
  • [S] Servicios: procesos de negocio, servicios electrónicos.
  • [SW] Aplicaciones: software desarrollado y adquirido.
  • [HW] Hardware: servidores, workstations, dispositivos de red.
  • [COM] Comunicaciones: redes, enlaces, líneas.
  • [AUX] Equipamiento auxiliar: climatización, SAI, mobiliario.
  • [L] Instalaciones: edificios, salas, CPD.
  • [P] Personal: personas con rol técnico o funcional.

La trampa más común es inventariar al detalle sin criterio. Un análisis útil agrupa activos equivalentes: 200 portátiles de usuario final pueden ser un único activo “portátil corporativo”.

2. Valoración de activos

Cada activo se valora en las cinco dimensiones del ENS (C, I, T, A, D) en una escala de 0 a 10. MAGERIT ofrece criterios cualitativos que hay que mapear a tu contexto. Esta valoración es de los activos, no del sistema en su conjunto, y alimenta después la categorización ENS.

3. Identificación de amenazas

Del Libro II eliges las amenazas que aplican a cada activo. Se agrupan en:

  • [N] Desastres naturales (inundación, terremoto, incendio).
  • [I] De origen industrial (fallo eléctrico, contaminación).
  • [E] Errores y fallos no intencionados (error humano, fallo de software).
  • [A] Ataques intencionados (malware, phishing, denegación de servicio, espionaje).

Cada amenaza se caracteriza por frecuencia (cuántas veces al año) y degradación (qué porcentaje del valor del activo destruye).

4. Salvaguardas existentes

Enumeras las salvaguardas (controles) ya implantados y evalúas su eficacia (0–100 %). Aquí es donde conectas con el Anexo II: cada medida implementada se traduce en una salvaguarda con una eficacia estimada.

5. Cálculo del riesgo

MAGERIT calcula el riesgo como una función de:

Riesgo = Impacto × Probabilidad × (1 − Eficacia de salvaguardas)

Se obtiene un riesgo potencial (sin salvaguardas) y un riesgo residual (tras aplicar las que tienes). La diferencia es lo que has ganado.

6. Tratamiento del riesgo

Para cada riesgo residual decides:

  • Aceptar: el riesgo está dentro del apetito de riesgo.
  • Mitigar: aplicar salvaguardas adicionales.
  • Transferir: contratar un seguro, externalizar.
  • Evitar: dejar de hacer la actividad que genera el riesgo.

Las decisiones de tratamiento se documentan en el Plan de Tratamiento de Riesgos, que debe estar aprobado por la dirección.

Dos formas de hacerlo: PILAR o manual

Opción A — PILAR

PILAR es la implementación oficial de MAGERIT del CCN. Es una herramienta de escritorio (con versión cloud) que tiene todos los catálogos precargados y automatiza los cálculos. Para organizaciones medianas y grandes es la opción sensata: el auditor la conoce, la acepta y acelera el trabajo. Tiene curva de aprendizaje, pero el tiempo que ahorra compensa.

Opción B — Hoja de cálculo

Organizaciones pequeñas pueden hacer un MAGERIT ligero en hoja de cálculo con las tablas del Libro II. Funciona para Básica y Media simples, pero se queda corto cuando aumentan los activos o los cálculos se complican.

Nuestra recomendación: si el sistema tiene más de 30 activos críticos o categoría Alta, usa PILAR.

Qué entregables produce un AR

Al terminar deberías tener:

  1. Inventario de activos valorados.
  2. Matriz amenazas × activos con frecuencias y degradaciones.
  3. Listado de salvaguardas y eficacia.
  4. Cálculo de riesgo potencial y residual.
  5. Plan de Tratamiento de Riesgos con decisiones y responsables.
  6. Informe ejecutivo para dirección.

El informe y el PTR son lo que el auditor revisa; los cálculos detallados los verifica por muestreo.

Errores frecuentes

  • Activos demasiado detallados (cada PC, cada switch). Genera un inventario inmanejable.
  • Amenazas copy-paste del Libro II sin filtrar. Debes justificar cuáles aplican.
  • Frecuencias y degradaciones inventadas. Mejor rangos conservadores con criterio que números precisos sin base.
  • Salvaguardas sobreevaluadas. Decir que tu backup tiene 100% de eficacia cuando no has probado una restauración en dos años es un autoengaño.
  • PTR sin fechas ni responsables. El plan sin compromiso es deseo.

Cadencia

El AR no es un documento anual archivado en un cajón. Debe revisarse:

  • Al menos una vez al año.
  • Cuando cambia el alcance del sistema.
  • Cuando se incorporan nuevos activos críticos.
  • Cuando se materializa un incidente relevante.

Una revisión ligera anual con una revisión profunda cada 2–3 años (coincidiendo con la auditoría) es un ritmo razonable para la mayoría de las organizaciones.

Sigue leyendo

Herramientas CCN

PILAR: la herramienta oficial del CCN para análisis de riesgos

Qué es PILAR, cuándo usarlo, cómo instalarlo y qué entregables produce. Guía práctica para equipos que empiezan con la herramienta oficial.

6 min
Implantación

Errores más comunes al redactar el Análisis de Riesgos

Los errores que aparecen una y otra vez en los análisis de riesgos ENS: alcance mal definido, valoraciones infladas, amenazas genéricas y controles desalineados con la DA.

7 min
Herramientas CCN

INES: cómo reportar tu estado de conformidad al CCN

Qué es INES (Informe Nacional del Estado de Seguridad), quién está obligado, qué datos se reportan y cómo organizar la recolección interna.

5 min

¿Listo para certificarte en el ENS?

Diagnóstico inicial sin coste y sin compromiso. Te contestamos en menos de 24 horas laborables.

Solicitar diagnóstico info@certificacionens.eu