Datos clave de este artículo: Las fórmulas, escalas y umbrales de esta guía son exactamente los que implementa el asistente de análisis de riesgos de app.esquema.dev, basados en MAGERIT 3.0. El contexto de mercado procede de nuestro análisis de 2.215 certificaciones ENS.
El análisis de riesgos es el control op.pl.1 del Anexo II y la pieza central de cualquier adecuación al ENS: de él se deriva qué salvaguardas necesitas reforzar y qué proyectos componen tu plan de mejora. También es, según los consultores con los que trabajamos, la fase donde más proyectos se atascan: hojas de cálculo gigantes, fórmulas que se rompen y semanas de trabajo manual.
Esta guía recorre el proceso completo tal y como lo implementa nuestro asistente de 8 pasos, con las fórmulas y umbrales exactos, para que puedas reproducirlo (a mano si quieres) o entender qué está calculando la herramienta por ti. Si buscas la base metodológica general de MAGERIT 3.0, complementa esta lectura con la guía metodológica de MAGERIT.
El contexto: por qué este análisis no necesita ser un proyecto de meses
De los 2.215 sistemas certificados en España, el 64,6% son categoría MEDIA y el 2,4% BÁSICA. La mediana de los alcances certificados ronda los 267 caracteres: sistemas acotados, con decenas de activos, no cientos. Para ese perfil mayoritario, un análisis de riesgos riguroso es perfectamente abordable en días si el proceso está bien sistematizado. Veamos cómo.
Paso 1: Importar y clasificar los activos
El punto de partida no es una lista en blanco: son los activos que ya identificaste en el BIA. Cada activo se asigna a uno de los 10 grupos de MAGERIT 3.0:
| Grupo | Código | Ejemplos |
|---|---|---|
| Datos / Información | D | Ficheros, bases de datos, logs, código fuente, configuración |
| Claves criptográficas | K | Certificados SSL, claves API, claves de cifrado |
| Servicios | S | Cloud, SaaS, servicios internos y externos |
| Software | SW | Sistemas operativos, aplicaciones, desarrollo propio |
| Hardware | HW | Servidores, estaciones, dispositivos de red |
| Comunicaciones | COM | Internet, VPN, red local, telefonía |
| Soportes | Media | Backups, medios de almacenamiento |
| Auxiliar | AUX | UPS, climatización, cableado |
| Instalaciones | L | CPD, oficinas, instalaciones de respaldo |
| Personal | P | Empleados, contratistas, proveedores |
Además del grupo, cada activo recibe una criticidad (Alta, Media o Baja) que determina su Valor de Activo (V):
| Criticidad | Valor del activo (V) |
|---|---|
| Alta | 4 |
| Media | 2 |
| Baja | 1 |
Una regla que los auditores revisan y que la herramienta fuerza automáticamente: V debe ser idéntico en todas las filas de riesgo de un mismo activo. El valor de un servidor no cambia según la amenaza que estés evaluando.
Paso 2: Generar las amenazas por grupo de activo
A cada activo le corresponden las amenazas relevantes de su grupo. El catálogo MAGERIT de la herramienta contiene 84 pares amenaza-vulnerabilidad organizados por grupo: 12 para Datos, 12 para Hardware, 11 para Instalaciones, 10 para Comunicaciones, 9 para Software, 8 para Soportes, 7 para Servicios, 6 para Claves criptográficas, 5 para Auxiliar y 4 para Personal.
Esto significa que no tienes que preguntarte “¿qué le puede pasar a este activo?” desde cero: al clasificar un servidor como HW, sus 12 filas de riesgo se generan automáticamente (avería, daño por agentes del entorno, robo, error de configuración, fallo eléctrico, fuego, inundación, sobrecarga…), cada una con su vulnerabilidad asociada. Tu trabajo es valorar, no inventariar.
Un sistema típico de 15 activos genera del orden de 120-150 filas de riesgo. Aquí es donde las hojas de cálculo empiezan a doler.
Paso 3: Valorar el impacto CIDAT
Para cada fila activo-amenaza se valora el impacto en las 5 dimensiones de seguridad del ENS: Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad. La escala va de 1 (insignificante) a 4 (alto), con 0 cuando la dimensión no aplica a ese par. Como referencia, los criterios de Confidencialidad:
| Valor | Nivel | Criterio |
|---|---|---|
| 4 | Alto | Hacerlo público supone una falta total de confianza y la pérdida de negocio |
| 3 | Medio | Hacerlo público dañaría la imagen y se sufriría una pérdida de confianza |
| 2 | Bajo | Hacerlo público supone una pérdida mínima de imagen |
| 1 | Insignificante | Se puede hacer público |
Cada dimensión tiene su propia tabla de criterios equivalente. El Impacto Agregado de la fila es la suma de las cinco:
$$ I_a = C + I + D + A + T $$
Con un rango de 0 a 20. Si ya completaste la valoración CITA en el BIA, esos niveles (bajo = 1, medio = 2, alto = 3) sirven como punto de partida para precargar las dimensiones.
Paso 4: Estimar la probabilidad y calcular el riesgo inicial
La Probabilidad (P) de cada amenaza se valora de 1 a 4:
| Valor | Nivel | Criterio |
|---|---|---|
| 4 | Alto | Completamente posible: el daño ocurre siempre |
| 3 | Medio | Bastante posible: el daño ocurre con frecuencia |
| 2 | Bajo | Remotamente posible: el daño ocurre en algunas ocasiones |
| 1 | Insignificante | Raramente ocurre: la probabilidad es remota |
Con V, Ia y P, el Riesgo Inicial de cada fila se calcula automáticamente:
$$ R = V \times I_a \times P $$
El rango va de 1 a 320 (un activo crítico, con impacto máximo en las cinco dimensiones y amenaza que ocurre siempre). Este es el riesgo inherente, antes de considerar ningún control.
Paso 5: Salvaguardas del Anexo II y riesgo residual
Aquí se evalúa lo que ya tienes implantado. La herramienta incluye un catálogo de 76 salvaguardas predefinidas mapeadas a los controles del Anexo II del ENS (marco organizativo org, marco operacional op y medidas de protección mp), cada una clasificada por tipo de protección: preventiva, detección, correctiva, recuperación, eliminación, monitorización, disuasoria, administrativa, impedimento o concienciación.
A cada salvaguarda asignada se le valora su nivel de madurez en la escala CMM:
| Nivel | Madurez | Eficacia (Si) |
|---|---|---|
| L0 | Inexistente | 0% |
| L1 | Inicial | 20% |
| L2 | Reproducible | 40% |
| L3 | Proceso definido | 60% |
| L4 | Gestionado y medible | 80% |
| L5 | Optimizado | 100% |
El Riesgo Residual descuenta del riesgo inicial la eficacia de la salvaguarda existente:
$$ R_i = R - R \times S_i $$
Ejemplo: un riesgo inicial de 96 (V=4, Ia=12, P=2) con una salvaguarda en madurez L3 (Si = 0,6) queda en un residual de 96 - 96 x 0,6 = 38,4.
Paso 6: Leer los resultados con los umbrales correctos
Cada riesgo residual se clasifica en tres niveles. Estos son los umbrales por defecto de la herramienta:
| Riesgo residual | Nivel | Acción |
|---|---|---|
| Menor que 21 | Bajo | Aceptable, se documenta |
| De 21 a 40 | Medio | Vigilancia, mejora opcional |
| 41 o más | Alto | Obligatorio incluirlo en el PTR |
El umbral de 41 es el valor por defecto y es configurable por análisis: una organización con menor apetito de riesgo (o un sistema de categoría ALTA) puede bajarlo y exigir tratamiento a más riesgos. Lo importante de cara a la auditoría es que el umbral esté definido, justificado y aplicado de forma consistente.
El panel de resultados resume el total de riesgos por nivel y los mapas de calor por activo y por amenaza, que es exactamente lo que el auditor quiere ver primero.
Paso 7: Plan de Tratamiento de Riesgos (PTR) y riesgo final
Todos los riesgos con residual igual o superior al umbral (41 por defecto) pasan al PTR. Cada proyecto de tratamiento define responsable, fecha, recursos, el control ENS relacionado, los riesgos que trata y sus tareas con seguimiento.
Para cada riesgo tratado se estima la eficacia futura de la salvaguarda (Sf) tras ejecutar el proyecto (por ejemplo, pasar una salvaguarda de L2 a L4 eleva su eficacia de 0,4 a 0,8). El Riesgo Final esperado es:
$$ R_f = R - R \times S_f $$
Atención a un error frecuente: Sf reemplaza a Si, no se acumula. La fórmula parte siempre del riesgo inicial R, no del residual. Siguiendo el ejemplo anterior: el riesgo de 96 con la salvaguarda mejorada a L4 (Sf = 0,8) queda en 96 - 96 x 0,8 = 19,2, ya por debajo de 21 y por tanto en nivel bajo.
El resumen final del análisis muestra la comparación en tres fases (inicial, residual, final), que es la evidencia perfecta de que la gestión de riesgos funciona: de dónde partías, dónde estás y dónde estarás cuando ejecutes el plan.
Resumen de fórmulas
| Magnitud | Fórmula | Rango |
|---|---|---|
| Impacto Agregado | Ia = C + I + D + A + T | 0-20 |
| Riesgo Inicial | R = V x Ia x P | 1-320 |
| Riesgo Residual | Ri = R - R x Si | 0-320 |
| Riesgo Final | Rf = R - R x Sf | 0-320 |
| Niveles | bajo < 21, medio 21-40, alto >= 41 | umbral configurable |
Hazlo en horas, no en semanas
Todo lo anterior se puede hacer a mano. Pero con 120-150 filas de riesgo, cada una con 5 dimensiones, probabilidad, salvaguarda y madurez, el trabajo mecánico devora el tiempo que deberías dedicar al criterio.
El asistente de análisis de riesgos de app.esquema.dev automatiza las 8 fases: importa tus activos del BIA, genera las amenazas del catálogo por grupo, y la IA propone la valoración CIDAT, la probabilidad y las salvaguardas de cada fila siguiendo la metodología de las guías CCN-STIC. Tú revisas, ajustas y apruebas; los cálculos de R, Ri y Rf son siempre automáticos y trazables, y el informe sale listo para la certificadora con el PTR incluido.
La funcionalidad de análisis de riesgos con IA está incluida en el plan Pro por 69 EUR/mes, con organizaciones y análisis ilimitados (si te interesa un plan anual, contáctanos). Consulta la página de precios o empieza ahora por el principio: la herramienta gratuita de BIA te da la categorización y los activos que este análisis necesita como entrada.
Siguientes pasos
- Análisis de Impacto (BIA) si aún no tienes los activos y la categorización de partida
- Guía metodológica MAGERIT 3.0 para profundizar en la base teórica del método
- Alternativa a PILAR para el ENS si estás decidiendo con qué herramienta abordar el análisis