En breve: MAGERIT es la metodología oficial de análisis y gestión de riesgos de la Administración española, mantenida en la herramienta PILAR del Centro Criptológico Nacional (CCN). Aplicada a una pyme, se resume en cuatro pasos: identificar y valorar los activos, identificar las amenazas, evaluar las salvaguardas existentes y calcular el riesgo residual. Es el método de referencia para fundamentar el análisis de riesgos que exige el ENS.
¿Cómo hacer un análisis de riesgos con MAGERIT en una pyme? MAGERIT es la metodología oficial de análisis y gestión de riesgos de la Administración pública española, publicada por el Consejo Superior de Administración Electrónica y mantenida en su herramienta PILAR por el Centro Criptológico Nacional (CCN). El método se resume en cuatro pasos: (1) identificar los activos y su valor, (2) las amenazas que pueden afectarlos, (3) las salvaguardas ya implantadas y (4) calcular el riesgo residual que queda tras esas salvaguardas para decidir si lo aceptas. En este artículo te lo explico aplicado a una pyme real, con un ejemplo concreto, sin tecnicismos innecesarios.
¿Qué es MAGERIT?
MAGERIT son las siglas de Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Es la metodología que las administraciones públicas españolas usan para analizar sus riesgos de seguridad, y la referencia natural cuando una organización implanta el el marco del ENS, que exige gestionar la seguridad en función del riesgo.
La versión vigente es MAGERIT v3, de octubre de 2012, estructurada en tres libros: el método, el catálogo de elementos y la guía de técnicas. La herramienta que la instrumenta se llama PILAR y la mantiene el CCN. No es obligatorio usar exactamente MAGERIT —el ENS admite cualquier metodología reconocida de análisis de riesgos—, pero es la más extendida en el ámbito público español y la que mejor encaja con el ENS.
¿Es MAGERIT obligatorio en el ENS?
No exactamente. El ENS obliga a hacer un análisis de riesgos, pero no impone una metodología concreta: puedes usar MAGERIT, ISO 31000, ISO 27005 u otra reconocida. Ahora bien, MAGERIT es la metodología desarrollada por la propia Administración española y está perfectamente alineada con el ENS, por lo que en la práctica es la opción más habitual cuando trabajas con el sector público. Si quieres la visión más amplia de gestión de riesgos, puede interesarte mi guía sobre la gestión de riesgos empresariales con ISO 31000 en la práctica.
Los 4 pasos de MAGERIT
Paso 1: identifica y valora tus activos
Un activo es cualquier elemento que tiene valor para la organización y que conviene proteger: servidores, aplicaciones, bases de datos, la propia información, las comunicaciones, e incluso las personas y los servicios. El primer paso de MAGERIT consiste en inventariar los activos relevantes, entender cómo se relacionan entre sí y valorar qué perjuicio supondría su degradación.
La valoración no se hace en euros directamente, sino sobre las dimensiones de seguridad: confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad. Para cada activo te preguntas: ¿qué pasaría si esta información se filtrara (confidencialidad)? ¿Si se alterara sin permiso (integridad)? ¿Si no estuviera disponible un día entero (disponibilidad)? Estas dimensiones (confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad) son las mismas que el ENS utiliza para categorizar los sistemas, lo que facilita que el análisis MAGERIT alimente directamente la categorización del Esquema Nacional de Seguridad.
Ejemplo de pyme: una asesoría con quince empleados identifica como activos críticos su aplicación de gestión de clientes, la base de datos con datos fiscales, el servidor donde se aloja y el correo corporativo. La base de datos fiscal puntúa alto en confidencialidad e integridad; el correo, alto en disponibilidad.
Paso 2: identifica las amenazas
Una amenaza es cualquier evento que puede comprometer un activo. MAGERIT las clasifica en grandes grupos: desastres naturales (inundación, incendio), de origen industrial (fallo eléctrico, avería), errores y fallos no intencionados (un empleado que borra un fichero por error) y ataques intencionados (ransomware, robo de credenciales, suplantación).
Para cada activo identificas qué amenazas le aplican, con qué frecuencia podrían materializarse y qué degradación causarían sobre cada dimensión de seguridad. No todas las amenazas afectan a todos los activos por igual: un corte eléctrico golpea la disponibilidad del servidor, pero no la confidencialidad de un documento cifrado.
Ejemplo: sobre la base de datos fiscal de la asesoría, las amenazas más relevantes son el ransomware (alta degradación de disponibilidad e integridad), el acceso no autorizado (confidencialidad) y el error humano al manipular registros (integridad).
Paso 3: evalúa tus salvaguardas
Las salvaguardas son las medidas que ya tienes implantadas para reducir el riesgo: copias de seguridad, control de accesos, cifrado, antivirus, formación del personal, cortafuegos, etc. En este paso mides qué salvaguardas tienes y cómo de eficaces son frente a cada amenaza.
Aquí MAGERIT distingue entre el riesgo potencial (el que existiría sin ninguna salvaguarda) y el efecto reductor de las medidas implantadas. Una salvaguarda puede actuar reduciendo la probabilidad de que la amenaza ocurra (preventiva) o limitando el daño cuando ocurre (correctiva). Las copias de seguridad, por ejemplo, no impiden un ransomware, pero reducen drásticamente su impacto.
Ejemplo: la asesoría tiene copias de seguridad diarias (reduce el impacto del ransomware), control de accesos con contraseñas (reduce el acceso no autorizado) pero no tiene cifrado de la base de datos ni doble factor de autenticación: ahí quedan salvaguardas pendientes.
Paso 4: calcula el riesgo residual
El riesgo residual es el nivel de riesgo que todavía soporta el sistema una vez aplicadas las salvaguardas. Es el dato más importante de todo el análisis, porque es el que de verdad te dice cuánto riesgo estás asumiendo. Se calcula combinando el impacto y la probabilidad de cada amenaza después de descontar el efecto de las salvaguardas.
Una vez que tienes el riesgo residual de cada activo y amenaza, lo comparas con el nivel de riesgo aceptable que la dirección haya definido. Si el riesgo residual está por debajo del umbral aceptable, lo aceptas y lo documentas. Si lo supera, tienes que iterar: añadir o reforzar salvaguardas hasta que el riesgo baje a un nivel asumible. Esa iteración es el corazón de la gestión de riesgos: no se trata de eliminar todo el riesgo (imposible), sino de reducirlo a un nivel que la organización pueda asumir conscientemente.
Ejemplo: tras valorar salvaguardas, la asesoría ve que el riesgo residual del ransomware sobre la base de datos sigue siendo alto porque, aunque hay copias, no están aisladas de la red y podrían cifrarse también. La decisión: implantar copias inmutables y doble factor. Tras esa mejora, el riesgo residual baja al nivel aceptable y se acepta formalmente.
Tabla: matriz de riesgo de la pyme del ejemplo
Esta matriz de elaboración propia muestra cómo queda el análisis para los activos críticos de la asesoría del ejemplo, antes y después de las salvaguardas:
| Activo | Amenaza principal | Riesgo potencial | Salvaguardas | Riesgo residual | Decisión |
|---|---|---|---|---|---|
| Base de datos fiscal | Ransomware | Alto | Copias diarias (mejorables) | Alto → Medio tras copias inmutables | Reforzar y aceptar |
| Base de datos fiscal | Acceso no autorizado | Alto | Control de accesos + 2FA | Bajo | Aceptar |
| Aplicación de gestión | Error humano | Medio | Permisos por rol + registro | Bajo | Aceptar |
| Correo corporativo | Fallo de disponibilidad | Medio | Servicio en la nube con SLA | Bajo | Aceptar |
| Servidor | Corte eléctrico | Medio | SAI + servicio gestionado | Bajo | Aceptar |
¿Cómo se valora el impacto y la probabilidad?
Para que el análisis sea coherente, MAGERIT trabaja con escalas. No hace falta inventar un sistema complejo; en una pyme suele bastar con escalas cualitativas de pocos niveles, siempre que se apliquen de forma consistente:
- Impacto: mide la gravedad del daño si la amenaza se materializa sobre la dimensión afectada. Una escala habitual es bajo, medio, alto y muy alto, asociando cada nivel a consecuencias concretas (por ejemplo, "alto" = parada del servicio durante más de un día o pérdida de datos fiscales).
- Probabilidad o frecuencia: con qué asiduidad podría ocurrir la amenaza. También se gradúa en niveles (raro, posible, frecuente, muy frecuente).
El riesgo resulta de combinar ambos: una amenaza de impacto muy alto pero probabilidad mínima puede dar un riesgo asumible, mientras que una de impacto medio y probabilidad alta puede ser prioritaria. Lo importante es aplicar la misma escala a todos los activos para poder comparar y priorizar con criterio. Documentar la escala usada forma parte del análisis: un auditor querrá entender cómo has llegado a cada valoración.
¿Cada cuánto hay que revisar el análisis de riesgos?
El análisis de riesgos no es un documento de usar y tirar. En el marco del ENS, va ligado al ciclo de revisión y auditoría —que es bienal—, pero conviene revisarlo siempre que cambie algo relevante: nuevos sistemas o servicios, cambios en el tratamiento de la información, nuevas amenazas significativas (una campaña de ransomware en tu sector, por ejemplo) o tras un incidente. Un análisis congelado durante años deja de reflejar la realidad y pierde todo su valor. La gestión de riesgos es, por definición, un proceso continuo, no una foto fija.
Consejos para aplicar MAGERIT en una pyme sin morir en el intento
- No inventaríes todo el universo. Céntrate en los activos verdaderamente críticos. Un inventario interminable agota el proyecto antes de empezar.
- Sé realista con las salvaguardas. Apunta lo que de verdad tienes funcionando, no lo que crees que deberías tener. Un análisis optimista es un análisis inútil.
- Documenta las decisiones de aceptación. Aceptar un riesgo es legítimo, pero tiene que ser una decisión consciente de la dirección y quedar por escrito.
- Revísalo periódicamente. El análisis de riesgos no es un documento de una sola vez: cambian los activos, las amenazas y las salvaguardas. En el ENS, además, va ligado al ciclo de auditoría.
- Apóyate en la herramienta PILAR si tu sistema es complejo. Para una microempresa puede bastar una hoja de cálculo bien hecha; para sistemas mayores, PILAR estructura el método.
El análisis de riesgos es la base sobre la que se construye todo el ENS. Si quieres ver cómo se conecta con el resto del marco, lo desarrollo en mi guía sobre el análisis de riesgos con MAGERIT en el ENS.
¿Hoja de cálculo o herramienta PILAR?
Una duda frecuente en las pymes es si necesitan la herramienta oficial PILAR o pueden apañarse con una hoja de cálculo. La respuesta depende del tamaño y la complejidad del sistema:
- Hoja de cálculo: para una microempresa o un sistema sencillo, con pocos activos y amenazas, una hoja bien estructurada —con columnas para activo, dimensión, amenaza, impacto, probabilidad, salvaguardas y riesgo residual— puede ser perfectamente suficiente y mucho más manejable.
- PILAR: cuando el sistema crece, con muchos activos interrelacionados y dependencias complejas, la herramienta que el CCN mantiene para instrumentar MAGERIT aporta estructura, catálogos predefinidos de amenazas y salvaguardas, y cálculo automático del riesgo. Reduce errores y facilita mantener el análisis vivo en el tiempo.
Mi recomendación para una pyme que empieza es no obsesionarse con la herramienta: lo importante es entender bien el método y aplicarlo con honestidad. La herramienta facilita el trabajo, pero no sustituye el criterio. Un análisis sencillo en hoja de cálculo, bien hecho, vale más que un PILAR mal alimentado con datos optimistas.
Conclusión
MAGERIT no es un monstruo reservado a grandes administraciones: aplicado con cabeza, una pyme puede analizar sus riesgos en cuatro pasos —activos, amenazas, salvaguardas y riesgo residual— y tomar decisiones informadas sobre qué proteger y hasta dónde. La clave está en centrarse en lo crítico, ser honesto con las salvaguardas reales y documentar las decisiones de aceptación. Hecho así, el análisis de riesgos deja de ser un trámite del ENS y se convierte en una herramienta real para no llevarte sustos.
Preguntas frecuentes
¿Qué es MAGERIT?
Es la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, la metodología oficial de la Administración pública española. Su versión vigente es MAGERIT v3 (2012) y se instrumenta con la herramienta PILAR, mantenida por el Centro Criptológico Nacional (CCN).
¿Cómo se hace un análisis de riesgos con MAGERIT?
En cuatro pasos: identificar y valorar los activos, identificar las amenazas que les afectan, evaluar las salvaguardas ya implantadas y calcular el riesgo residual que queda. Si el riesgo residual supera el nivel aceptable, se refuerzan salvaguardas y se itera hasta alcanzar un nivel asumible.
¿Qué es el riesgo residual?
Es el nivel de riesgo que todavía soporta el sistema después de aplicar las salvaguardas. Se compara con el riesgo aceptable definido por la dirección: si está por debajo, se acepta y documenta; si lo supera, hay que añadir o reforzar medidas.
¿MAGERIT es obligatorio en el ENS?
No. El ENS obliga a hacer un análisis de riesgos, pero no impone una metodología concreta: vale MAGERIT, ISO 31000, ISO 27005 u otra reconocida. MAGERIT es la más usada en el ámbito público español por estar desarrollada por la propia Administración y alineada con el ENS.
Fuentes
- CCN — MAGERIT versión 3.0, Libro I: Método.
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (BOE-A-2022-7191) — exigencia de gestión de la seguridad basada en el riesgo.
- Centro Criptológico Nacional — Esquema Nacional de Seguridad (ens.ccn.cni.es).