MAGERIT

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información desarrollada por el Consejo Superior de Administración Electrónica.

Si el ENS es la ley que te dice que debes estar seguro, MAGERIT es el libro de instrucciones que te enseña a calcular cuánto de inseguro eres y qué te va a costar el susto.

1. El Concepto Fundamental: La Fórmula del Riesgo

En la oposición, olvida las definiciones largas. MAGERIT se resume en una ecuación lógica:

Riesgo=Impacto×Probabilidad

  • Impacto: El daño que sufres si algo malo pasa (se mide según el valor del activo).
  • Probabilidad: La frecuencia con la que es posible que ocurra una amenaza.

2. Los 3 Pilares de MAGERIT (El Glosario de Oro)

Para tu segunda vuelta, estos términos deben ser automáticos:

3. El Proceso de Análisis (Paso a paso)

MAGERIT propone un orden lógico que el ENS hace obligatorio para sistemas de categoría Media o Alta:

  1. Inventario de Activos: ¿Qué tengo? (Hardware, Software, Datos, Personal, Instalaciones).
  2. Valoración de Activos: ¿Cuánto vale que esto falle? (Se valora en Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad – las dimensiones del ENS).
  3. Identificación de Amenazas: ¿Qué me puede pasar?
  4. Cálculo del Riesgo Intrínseco: El riesgo que tienes si no haces nada (estás «desnudo»).
  5. Aplicación de Salvaguardas: Ponemos medidas de seguridad.
  6. Cálculo del Riesgo Residual: El riesgo que queda después de poner las medidas. Spoiler: El riesgo cero no existe.

4. Los Libros de MAGERIT

Aunque ahora estamos en la versión 3, MAGERIT se divide en tres documentos que te pueden preguntar:

  • Libro I: Metodología (El «qué hacer»).
  • Libro II: Catálogo de Elementos (Listado de activos, amenazas y salvaguardas estándar).
  • Libro III: Guía de Técnicas (Cómo hacer entrevistas, análisis de impacto, etc.).
💡 Tip de Examen (Pregunta Trampa)

Cuidado con confundir Análisis con Gestión:

  • Análisis de Riesgos: Es la foto fija. Saber qué riesgos tengo y cuánto valen.
  • Gestión de Riesgos: Es la película. Tomar decisiones (aceptar el riesgo, mitigarlo con medidas, transferirlo a un seguro o evitarlo eliminando el activo).

Recuerda: El ENS (Art. 6) dice que la gestión de seguridad debe estar basada en los riesgos, por lo tanto, sin MAGERIT (o una metodología similar), no hay cumplimiento del ENS.

🛡️ Las 5 Dimensiones del ENS (El acrónimo DICAT)

📈 ¿Cómo se decide la Categoría del Sistema?

Aquí es donde el ENS se pone serio. Para cada dimensión, se asigna un nivel de impacto si se pierde: Bajo, Medio o Alto.

  • La Regla del Máximo: La categoría global del sistema (Básica, Media o Alta) vendrá determinada por el nivel más alto alcanzado en cualquiera de las dimensiones.

Ejemplo de examen: Si un sistema de citas tiene:

  • Disponibilidad: Baja
  • Confidencialidad: Media
  • Integridad: Baja
  • Categoría Final: MEDIA. (Manda el valor más alto).

🔄 El Ciclo de Vida de la Seguridad (Art. 12)

Recuerda que la seguridad en el ENS no es una foto, es una película que tiene 4 fases:

  1. Planificación: Análisis de riesgos (Magerit) y diseño.
  2. Implementación: Instalamos las salvaguardas (Firewalls, backups).
  3. Verificación: Auditorías y escaneos de vulnerabilidades.
  4. Mejoras: Corregimos lo que ha fallado y vuelta a empezar.

💡 Tip de «Segunda Vuelta» para Gestión

En el SALUD de Aragón, la mayoría de los sistemas críticos (como el HCIS o Salud Entra) se consideran de Categoría ALTA. Esto implica que:

  • Deben pasar una Auditoría obligatoria cada 2 años (o si hay cambios sustanciales).
  • El análisis de riesgos debe ser formal y detallado.
  • Las medidas de seguridad son mucho más estrictas que en una categoría Básica.

Entradas relacionadas: