El análisis de riesgos es el corazón del Esquema Nacional de Seguridad. Sin un análisis de riesgos riguroso, no es posible determinar qué controles necesita su organización, con qué nivel de exigencia, ni dónde concentrar los recursos de seguridad. MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) es la metodología de referencia en España para este proceso, y esta guía le explicará cómo aplicarla de forma práctica en su proyecto de adecuación al ENS.
🔗 ENLACE INTERNO: Si necesita un contexto general sobre el ENS, consulte nuestra guía definitiva del Esquema Nacional de Seguridad.
¿Qué es MAGERIT y por qué es relevante?
MAGERIT es la metodología desarrollada por el Consejo Superior de Administración Electrónica, actualmente en su versión 3. Está compuesta por tres libros. El Libro I describe el método, las etapas del análisis y los conceptos fundamentales. El Libro II es el catálogo de elementos: tipos de activos, dimensiones de valoración, criterios de valoración, catálogo de amenazas y catálogo de salvaguardas. El Libro III es la guía de técnicas, que describe los métodos cuantitativos y cualitativos aplicables.
Aunque el ENS no impone MAGERIT como metodología única, en la práctica es la referencia estándar que los auditores ENS esperan encontrar. Usar otra metodología es posible, pero requiere justificar que cumple los requisitos del Anexo II del ENS, lo que añade complejidad innecesaria.
La herramienta PILAR del CCN
PILAR es la herramienta informática desarrollada por el Centro Criptológico Nacional que implementa la metodología MAGERIT de forma automatizada. Existe en varias versiones: PILAR completa para análisis de riesgos avanzados, μPILAR (micro-PILAR) como versión simplificada para organizaciones pequeñas, y PILAR Cloud como versión en la nube.
PILAR incluye los catálogos completos de MAGERIT, calcula automáticamente el impacto y el riesgo a partir de las valoraciones introducidas, proporciona informes estándar aceptados por los auditores ENS, y se actualiza periódicamente con nuevas amenazas y salvaguardas.
Para acceder a PILAR es necesario registrarse en el portal del CCN. La herramienta es gratuita para el sector público y sus proveedores.
El proceso de análisis de riesgos paso a paso
Paso 1: inventario de activos
El primer paso es identificar todos los activos de información del sistema dentro del alcance del ENS. MAGERIT clasifica los activos en capas: información y datos (lo que se quiere proteger), servicios (lo que se ofrece), aplicaciones y software, equipos e infraestructura hardware, comunicaciones y redes, soportes de información (físicos y electrónicos), instalaciones, y personal.
Para cada activo, se documenta su denominación, tipo según el catálogo MAGERIT, propietario o responsable, ubicación, y relaciones de dependencia con otros activos (un servicio depende de una aplicación, que depende de un servidor, que depende de una sala de servidores).
Paso 2: valoración de activos en dimensiones DICAT
Cada activo se valora en las cinco dimensiones de seguridad: Disponibilidad, Integridad, Confidencialidad, Autenticidad y Trazabilidad. La valoración puede ser cualitativa (BAJO, MEDIO, ALTO) o cuantitativa (escala numérica), aunque para el ENS es suficiente la cualitativa.
La valoración debe hacerse para cada activo de información y servicio. Los activos de soporte (hardware, software, comunicaciones) heredan la valoración de los activos superiores de los que dependen a través del árbol de dependencias.
Paso 3: identificación de amenazas
Para cada activo, se identifican las amenazas que podrían materializarse y causar un impacto negativo. El catálogo de amenazas de MAGERIT (Libro II) proporciona una lista exhaustiva organizada por categorías: desastres naturales, de origen industrial, errores y fallos no intencionados, y ataques intencionados.
No es necesario considerar todas las amenazas del catálogo para cada activo. Se seleccionan aquellas que son relevantes según el tipo de activo y el contexto de la organización.
Paso 4: estimación del impacto y la probabilidad
Para cada par activo-amenaza, se estima la probabilidad de materialización de la amenaza (la frecuencia esperada con la que podría ocurrir) y el impacto que produciría en cada dimensión de seguridad (la degradación del valor del activo).
PILAR facilita enormemente este proceso al proporcionar estimaciones predeterminadas basadas en estadísticas y experiencia acumulada, que el analista puede ajustar según el contexto específico de su organización.
Paso 5: cálculo del riesgo
El riesgo se calcula como la combinación del impacto y la probabilidad. PILAR realiza este cálculo automáticamente y presenta los resultados en matrices de riesgo que permiten visualizar rápidamente qué activos tienen un riesgo inaceptable.
El riesgo puede expresarse en tres zonas: riesgo aceptable (verde), riesgo tolerable con medidas (amarillo) y riesgo inaceptable que requiere acción inmediata (rojo).
Paso 6: selección de salvaguardas
Las salvaguardas son las medidas de seguridad que se implantan para reducir el riesgo a un nivel aceptable. El catálogo de salvaguardas de MAGERIT proporciona una lista extensa que se mapea directamente con los controles del ENS.
Para cada riesgo inaceptable, se seleccionan las salvaguardas apropiadas y se estima su eficacia (qué porcentaje del riesgo reducen). PILAR recalcula automáticamente el riesgo residual con las salvaguardas aplicadas.
Paso 7: determinación del riesgo residual
El riesgo residual es el que permanece después de aplicar todas las salvaguardas seleccionadas. Este riesgo debe ser aceptado formalmente por el responsable de seguridad o la dirección de la organización. Si el riesgo residual sigue siendo inaceptable, deben reforzarse las salvaguardas o buscar alternativas.
Errores frecuentes en el análisis de riesgos ENS
El primer error habitual es la incompletitud del inventario de activos: olvidar activos críticos como las bases de datos, los sistemas de backup o las conexiones con terceros. El segundo es la falta de coherencia en las valoraciones: asignar valores sin criterio consistente entre activos similares. El tercero es la desactualización: realizar el análisis una vez y no revisarlo periódicamente. El cuarto es la falta de implicación de los responsables funcionales: el análisis de riesgos no puede hacerlo solo el departamento de TI, necesita la visión del negocio.
🔗 ENLACE INTERNO: Consulte nuestra guía de gestión de riesgos empresariales con ISO 31000 para un marco complementario.
¿Cómo presentar el análisis de riesgos a la dirección?
La dirección no necesita ver las tablas de PILAR. Necesita entender tres cosas: qué riesgos son los más graves para la organización (los cinco principales, con escenarios comprensibles), qué medidas se proponen y cuánto cuestan, y qué riesgo residual se asume y por qué es aceptable.
Prepare un informe ejecutivo de dos o tres páginas que responda a estas tres preguntas, respaldado por el informe técnico completo de PILAR como anexo.
📩 CTA: ¿Necesita realizar el análisis de riesgos de su organización conforme a MAGERIT? Contacte con nosotros. Le acompañamos en todo el proceso con la herramienta PILAR y le entregamos un análisis que supere la auditoría ENS.
Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs.
¿Necesitas ayuda con esto?
Trabaja conmigo en Adecuación al ENS
Consultoría a medida en adecuación al ENS. Primera sesión sin coste.
Agendar sesión →