El método MAGERIT es una metodología creada por el Consejo Superior de Informática de España para analizar y gestionar los riesgos de los sistemas de información de las administraciones públicas. MAGERIT sigue un proceso en cuatro etapas: planificación, análisis de riesgos, gestión de riesgos y selección de medidas de seguridad. El método proporciona una forma sistemática de identificar activos, amenazas, vulnerabilidades, impactos y riesgos, y ayuda a seleccionar las salv

1. MAGERIT
El método MAGERIT, son las siglas de Metodología de Análisis y Gestión de Riesgos de los Sistemas
de Información de la Administraciones, dicho método cubre la fase AGR (Análisis y Gestión de
Riesgos). Si hablamos de Gestión global de la Seguridad de un Sistema de Seguridad de la
Información basado en ISO 27001, MAGERIT, es el núcleo de toda actuación organizada en dicha
materia, ya que influye en todas las fases que sean de tipo estratégico y se condiciona la profundidad
de las fases de tipo logístico.
 Fue creado por el consejo superior de informática de España
 Existen tres versiones
 El aspecto positivo de esta metodología es que el resultado se expresa en valores
económicos.
OBJETIVOS
Concientizar a los responsables de los sistemas de información de la existencia de riesgos y la
necesidad de atacarlos a tiempo
Ofrece un método sistemático para analizar dichos riesgos
Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control
Preparar a la organización para procesos de evaluación, auditoria certificación o acreditación, según
corresponda en cada caso
VENTAJAS
 Ofrece un método sistemático para analizar los riesgos
 Ayuda a identificar y planificar medidas necesarias para reducir los riesgos
 Brinda herramientas que ayudan a facilitar el análisis de riesgos
DESVENTAJAS
El hecho de tener que traducir en forma directa todas las valoraciones en valores económicos hace
que la aplicación de esta metodología sea realmente costosa
ESTRUCTURADEL MAGERIT
ELEMENTOS: Proporciona los componentes del sistema
EVENTOS: Relaciona los elementos entre si
PROCESOS:Describe el proyecto de seguridad a construir en cuatro etapas (planificación, análisis
de riesgos, gestión de riesgos, selección de mecanismos de salvaguardas).
ELEMENTOS
En la realización de un análisis y gestión de riesgos según MAGERIT, el analista de riesgos es el
profesional especialista que maneja una serie de elementos básicos:
ACTIVOS
Son los recursos del sistema de información o relacionados con éste, necesarios para que la
organización funcione correctamente y alcance los objetivos propuestos.
CATEGORÍAS DE ACTIVOS
• El entorno o soporte del sistema de información (personal, equipamiento de suministros
auxiliar, activos tangibles)

2. • El sistema de información propiamente dicho del dominio (hardware, software básico,
aplicaciones etc.)
• La propia información requerida, soportada o producida por el sistema de información que
incluye los datos informatizados, entrantes y resultantes, así como su estructuración
(formatos, códigos, claves de cifrado) y sus soportes.
• Las funcionalidades del dominio que justifican al sistema de información
• Otros activos de naturaleza variada (imagen de la organización, la confianza que inspire, etc.)
AMENAZAS
Se definen comolos eventos que pueden desencadenar un incidente en la organización, produciendo
daños materiales o pérdidas inmateriales en sus activos
CLASIFICACIÓN DE LAS AMENAZAS
GRUPO ADE ACCIDENTE
A1. Accidente físico de origen industrial
A2. Avería
A3. Accidente físico de origen natural
A4. Interrupción de servicios o de suministros esenciales
A5. Accidentes mecánicos o electromagnéticos
GRUPO E DE ERRORES
E1. Errores de utilización
E2. Errores de diseño
E3. Errores de ruta, secuencia o entrega
E4. Inadecuación de monitorización, trazabilidad, registro del tráfico de información
GRUPO P DE AMENAZAS INTENCIONALES PRESENCIALES
P1. Acceso físico no autorizado con inutilización por destrucción o sustracción
P2. Acceso lógico no autorizado con intercepción pasiva simple de la información
P3. Acceso lógico no autorizado con alteración o sustracción de la información en tránsito o de
configuración
P4. Acceso lógico con corrupción o destrucción de información en tránsito o de configuración
P5. Indisponibilidad de recursos
GRUPO T DE AMENAZAS INTENCIONALES TELEACTUADAS
T1. Acceso lógico no autorizado con intercepción pasiva
T2. Acceso lógico no autorizado con corrupción o destrucción de información en tránsito o de
configuración
T3. Acceso lógico no autorizado con modificación de información en tránsito
T4. Suplantación de Origen o de Identidad
T5. Repudio del Origen o de la Recepción de información en tránsito
VULNERABILIDAD
Se define como la potencialidad o posibilidad de ocurrencia de la materialización de una amenaza
sobre un activo. Es una propiedad entre un activo y una amenaza.
MAGERIT evita los términos probable y probabilidad y emplea los conceptos.
potencial y potencialidad (frecuencia o posibilidad) para medir la Vulnerabilidad.
IMPACTOS
El impacto en un activo es la consecuencia sobre éste de la materialización de una amenaza.
GRUPOS DE IMPACTOS
 Cualitativos con pérdidas funcionales del Activo

3.  Cualitativos con pérdidas orgánicas
 Cuantitativos
RIESGOS
Es la posibilidad de que se produzca un impacto en un activo o en el dominio. Para MAGERIT el
cálculo del riesgo ofrece un indicador que permite tomar decisiones por comparación con un umbral
CLASIFICACIÓN DE LOS RIEGOS
1. Crítico. Requiere atención urgente
2. Grave. Requiere atención
3. Apreciable. Puede ser objeto de estudio
4. Asumible. No se toman acciones para atajarlo
SALVAGUARDAS
Un mecanismo de salvaguarda es el procedimiento o dispositivo, físico o lógico, capaz de reducir el
riesgo.
Actúa de dos formas posibles:
Neutralizando o bloqueando la materialización de la amenaza antes de ser agresión
Mejorando el estado de seguridad de activo ya agredido, por reducción del impacto
CARACTERÍSTICA DE LAS SALVAGUARDAS
 Las salvaguardas deben ser efectivas. Para ello han de cumplir una serie de características:
 Tienen que ser adecuadas al peligro que conjura
 Deben estar instaladas, mantenidas, monitorizadas y actualizadas
 El personal debe estar instruido: usuarios, operadores y administradores
PROCESO MAGERIT
 Planificación del Análisis y Gestión de Riesgos, donde se establecen las consideraciones
necesarias para arrancar el proyecto, definiendo los objetivos que ha de cumplir y el dominio
que abarcará.
 Análisis de riesgos, donde se identifican y valoran los diversos elementos componentes del
riesgo, obteniendo una estimación de los umbrales del riesgo deseable
 Gestión de riesgos, donde se identifican las posibles funciones y servicios de salvaguarda
reductores del riesgo calculado, se seleccionan los aceptables en función de las existentes y
otras restricciones y se especifican los elegidos finalmente
 Selección de salvaguardas, donde se escogen los mecanismos de salvaguarda a implantar,
se elabora una orientación de ese plan de implantación, se establecen los procedimientos de
seguimiento para la implantación y se recopila la información necesaria para obtener los
productos finales del proyecto y realizar las presentaciones de resultados