MAGERIT es una guía para la gestión de riesgos derivados del uso de tecnologías de la información. Se estructura en tres libros: el Libro I describe el método de análisis y gestión de riesgos, el Libro II contiene un catálogo de elementos como activos, amenazas y salvaguardas, y el Libro III ofrece orientación sobre técnicas para el análisis de riesgos.

2. Objetivos
MAGERIT persigue los siguientes objetivos:
1.Concienciar a los responsables de las organizaciones de información de la
existencia de riesgos y de la necesidad de gestionarlos.
2.Ofrecer un método sistemático para analizar los riesgos derivados del uso de
tecnologías de la información y comunicaciones (TIC).
3.Ayudar a descubrir y planificar el tratamiento oportuno para mantener los
riesgos bajo control.
4.Preparar a la Organización para procesos de evaluación, auditoría, certificación
o acreditación, según corresponda en cada caso.

3. Organización de las guías
MAGERIT versión 3 se ha estructurado en tres libros:
 Libro I : Método
 Libro II: Catálogo de Elementos
 Libro III: : Guía de Técnicas

4. Libro I : Método
 Capítulo 2 presenta los conceptos informalmente. En particular se enmarcan las actividades de análisis y
tratamiento dentro de un proceso integral de gestión de riesgos.
 Capítulo 3 concreta los pasos y formaliza las actividades de análisis de los riesgos.
 Capítulo 4 describe opciones y criterios de tratamiento de los riesgos y formaliza las actividades de gestión de
riesgos.
 Capítulo 5 se centra en los proyectos de análisis de riesgos, proyectos en los que nos veremos inmersos para
realizar el primer análisis de riesgos de un sistema y eventualmente cuando hay cambios sustanciales y hay que
rehacer el modelo ampliamente.
 Capítulo 6 formaliza las actividades de los planes de seguridad, a veces denominados planes directores o planes
estratégicos.
 Capítulo 7 se centra en el desarrollo de sistemas de información y cómo el análisis de riesgos sirve para gestionar
la seguridad del producto final desde su concepción inicial hasta su puesta en producción, así como a la
protección del propio proceso de desarrollo.
 Capítulo 8 se anticipa a algunos problemas que aparecen recurrentemente cuando se realizan análisis de riesgos.

5. Libro I : Método

6. Libro I : Método

7. Libro II : Catálogo de Elementos
Marca unas pautas en cuanto a:
 Tipos de activos
 Dimensiones de valoración de los activos
 Criterios de valoración de los activos
 Amenazas típicas sobre los sistemas de información
 Salvaguardas a considerar para proteger sistemas de información
Se persiguen dos objetivos:
1. Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido de ofrecerles
elementos estándar a los que puedan adscribirse rápidamente, centrándose en lo específico del
sistema objeto del análisis.
2. Por otra, homogeneizar los resultados de los análisis, promoviendo una terminología y unos criterios
uniformes que permitan comparar e incluso integrar análisis realizados por diferentes equipos.

8. Libro III : Guía de Técnicas
Aporta luz adicional y orientación sobre algunas técnicas que se emplean habitualmente para llevar a cabo
proyectos de análisis y gestión de riesgos:
 Técnicas específicas para el análisis de riesgos
 Análisis mediante tablas
 Análisis algorítmico
 Árboles de ataque
 Técnicas generales
 Técnicas gráficas
 Sesiones de trabajo: entrevistas, reuniones y presentaciones