MAGERIT es una metodología de gestión de riesgos compuesta por 7 pasos que sigue la norma ISO 31000. Incluye identificar activos, amenazas, impacto potencial y riesgo potencial. Determina el riesgo mediante probabilidad e impacto para establecer salvaguardas y medir el impacto y riesgo residuales.

1. MODELOS Y ESTANDARES DE SEGURIDAD INFORMATICA
Tutor: Julio Alberto Vargas
Ing Cesar Velez
Curso: 233002_3 / Año 2018
METODOLOGÍA DE RIESGOS
MAGERIT

2. MAGERIT
 Es un proceso de la gestión de
riesgos , el cual sigue la
normatividad ISO 31000 y la cual
comprende un marco de trabajo que
en su mayoría sirve para gestionar
los estudios de riesgos en las
empresas, esto para el área de TI.

3. Metodología
 Al hablar de MAGERIT, es estar al
frente a una metodología compuesta
por 7 pasos y donde 2 de estos se
pueden considerar parte fundamental
del paso que nos habla sobre las
amenazas:
1. Activos
2. Amenazas
3. Determinación del impacto potencia
4. Determinación del riesgo potencial
5. Salvaguardas
6. Impacto residual
7. Riesgo residual

4. o Este concepto sirve a su vez para
determinar el riesgo al cual estamos
expuestos por medio de unos pasos
secuenciales:
 Poder identificar los activos importantes
para la empresa, la interrelación y el
valor, esto enfocado en como se
afectaría la degradación.
 Lograr determinar a que tipo de
amenazas están expuestos los activos
tecnológicos de la compañía.
 Validar que medidas preventivas hay
actualmente dispuestas y si son tan
eficaces respecto a los riesgos.
 Medición del impacto, definiendo como
el tipo de amenaza causada sobre el
activo generado por el tipo de
materialización de la amenaza.
Pasos Secuenciales

5. Flujo descriptivo

6. o Debe identificarse y clasificar los
activos, teniendo en cuenta valor
cualitativo, cuantitativo, dimensiones
y valor de interrupción:
 Datos: los que materializan la información
 Servicios auxiliar necesarios para trabajar el
sistema
 Aplicaciones informáticas: software que
permite manejar datos.
 Equipos informáticos: de tipo hardware que
permiten hospedar los datos servicios y
aplicaciones.
 Soportes de información: son los soportes de
información de datos
 Equipamiento auxiliar: complementan el
material informático.
 Redes de comunicaciones: permiten el
intercambio de datos
 Instalaciones: las que acogen equipos
informáticos y de comunicaciones.
 Personas: las que operan los elementos
anteriores
Activos

7. Consideraciones
 Es entonces que al hablar de
MAGERIT toda amenaza debe
considerarse de la siguiente manera:
 De origen natural
 De origen industrial
 Defecto de aplicaciones informáticas
 Recursos humanos no cualificados
 Amenazas mal intencionadas

8. o Determinar que puede afectar los
activos, importante lo que pueda
causar daño (cosas que ocurren):
 Origen Natural: Terremotos, Avalanchas,
Lluvias y lo que conlleva a inundaciones.
 Origen industrial: Incendios, Fallos
eléctricos, y contaminación ambiental.
 Defectos de aplicaciones: Vulnerabilidades
en los equipamientos de aplicativos.
 Causas por personas de tipo accidental:
los que se generan por error u omisión
 Causados por personas de forma
deliberada: ataques internos, robos o
beneficio de bien propio.
Amenazas
 Para todos estos riegos se debe tener
muy en cuenta el valor de la amenaza y
la degradación y una posibilidad que
esto se pueda materializar.

9. o Se le llama así a la medida del daño
probable sobre el sistema, la medida
entonces seria conocer el impacto de las
amenazas sobre el activo, es por esto que
la importancia seria poder derivar el
riesgo sin mas que tener muy en cuenta la
probabilidad de la ocurrencia.
 ZONA 1: Riesgos de tipo probables y de alto
impacto.
 ZONA 2: Franja amarilla que cubre un amplio
rango de situaciones improbables y de
impacto. Hasta situaciones probables de
impacto bajo o muy bajo.
 ZONA 3: Riesgos improbables y de bajo
impacto
 ZONA 4: Riesgos improbables pero de alto
impacto
Determinación del
riesgos potencial
 Es por esto que decimos entonces que
el impacto y la probabilidad pueden
distinguirse en una seria de zonas que
se denominan tratamiento del riesgo.

10. Determinación del
riesgos potencial
Tabla / Impacto, Probabilidad

11. o Son tipos de medidas preventivas o de
control que nos permiten proteger el
activo cuando la amenaza se materializa
logrando con esto mitigar el riesgo.
Salvaguardas

12. Referencias
Bibliograficas
Magerit , metodología practica para gestionar riesgos/
welivesecuriry /ESET/ Mayo 2013/Camilo Gutiérrez/
https://www.welivesecurity.com/la-es/2013/05/14/magerit-
metodologia-practica-para-gestionar-riesgos/
Magerit Metodologia , Portal de Administración Electrónica de
España/ Wikipedia /
https://es.wikipedia.org/wiki/Magerit_(metodolog%C3%ADa)
Magerit v.3, metodología de análisis y gestión de riesgos de los
sistemas de información / Guia de dominio protegido / D.Miguel
A / secretario de proyecto / Semagroup /Madrid /
http://dis.um.es/~barzana/Curso03_04/MAGERIT.pdf