Saltar al contenido principal
Volver a Guías
analisis-riesgos avanzado

Cómo realizar un Análisis de Riesgos según MAGERIT 3.0 para el ENS

Guía completa para ejecutar un análisis de riesgos conforme a la metodología MAGERIT 3.0 y el Esquema Nacional de Seguridad. Aprende a valorar activos, identificar amenazas y calcular riesgos.

18 min de lectura
12 de febrero de 2024

El análisis de riesgos es una fase obligatoria del cumplimiento ENS que permite identificar las amenazas a las que está expuesto un sistema, evaluar su probabilidad e impacto, y determinar si las salvaguardas existentes son suficientes. Esta guía sigue la metodología MAGERIT 3.0, recomendada por el CCN (Centro Criptológico Nacional).

Visión general: dónde encaja el análisis de riesgos

El análisis de riesgos es la fase final del proceso de evaluación ENS. Primero se realiza el BIA y la valoración CITA para categorizar el sistema; después, el análisis de riesgos determina qué controles adicionales son necesarios.

Ciclo de Cumplimiento ENS

Visión completa: del análisis de impacto al plan de tratamiento de riesgos

Cargando diagrama...

Procedimiento detallado

El siguiente diagrama muestra el flujo completo del análisis de riesgos según MAGERIT 3.0, incluyendo las fórmulas de cálculo:

Procedimiento de Análisis de Riesgos (MAGERIT 3.0)

Metodología conforme a MAGERIT 3.0 y el Anexo II del ENS

Cargando diagrama...

Paso 1: Importar y clasificar activos

El punto de partida son los activos identificados en el BIA. Cada activo se clasifica según los grupos definidos por MAGERIT:

GrupoCódigoEjemplos
Servicios[S]Servicios de negocio, servicios internos
Datos/Información[D]Bases de datos, ficheros, backups
Software[SW]Aplicaciones, sistemas operativos, middleware
Hardware[HW]Servidores, PCs, dispositivos móviles
Comunicaciones[COM]Redes, puntos de acceso, enlaces
Soportes de información[Media]Discos, cintas, documentos impresos
Equipamiento auxiliar[AUX]SAI, climatización, cableado
Instalaciones[L]Oficinas, CPD, almacenes
Personal[P]Administradores, usuarios, proveedores

Paso 2: Valorar la importancia de cada activo

El Valor del Activo (V) refleja su importancia para la organización. Este valor debe ser idéntico para todas las filas del mismo activo (no varía según la amenaza):

ValorNivelSignificado
1BajoActivo prescindible a corto plazo
2MedioActivo importante pero sustituible
3AltoActivo crítico para las operaciones
4Muy altoActivo esencial e insustituible

Paso 3: Identificar amenazas

Para cada activo, se seleccionan las amenazas relevantes del catálogo MAGERIT (113 amenazas en 4 grupos):

  • [N] Desastres naturales: fuego, inundación, terremoto…
  • [I] De origen industrial: fuego industrial, contaminación, fallos eléctricos…
  • [E] Errores y fallos no intencionados: errores de usuario, de configuración, de mantenimiento…
  • [A] Ataques intencionados: manipulación de datos, suplantación, denegación de servicio…

No todas las amenazas aplican a todos los activos. Por ejemplo, un servidor [HW] es susceptible a desastres naturales y fallos industriales, pero los datos [D] son más vulnerables a errores y ataques.

Paso 4: Valorar el impacto CIDAT

Para cada par activo-amenaza, se evalúa el impacto en las 5 dimensiones de seguridad (Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad) con una escala de 0 a 4:

ValorNivelSignificado
0No aplicaLa dimensión no es relevante para este activo
1BajoConsecuencias limitadas
2MedioConsecuencias graves pero subsanables
3AltoConsecuencias muy graves
4CríticoConsecuencias catastróficas

El impacto agregado del activo es la suma (rango 0-20):

Ia=C+I+D+A+TI_a = C + I + D + A + T

Paso 5: Estimar la probabilidad

Para cada par activo-amenaza, se estima la probabilidad de ocurrencia:

ValorNivelFrecuencia estimada
1Muy bajaMenos de 1 vez cada 5 años
2Baja1 vez al año
3Media1 vez al mes
4Alta1 vez a la semana o más

Paso 6: Calcular el riesgo inicial

El riesgo inicial combina los tres factores:

R=V×Ia×PR = V \times I_a \times P

Donde:

  • VV = Valor del Activo (1-4)
  • IaI_a = Impacto agregado CIDAT (0-20)
  • PP = Probabilidad (1-4)

El rango teórico es 00 a 320320. Un riesgo de 160160+ se considera crítico para cualquier categoría ENS.

Paso 7: Evaluar las salvaguardas existentes

Se revisan los controles ya implementados contra el catálogo del Anexo II del ENS. Cada salvaguarda se evalúa según su nivel de madurez:

NivelMadurezEficacia (Si)
L0Inexistente0%
L1Inicial/ad hoc20%
L2Repetible40%
L3Definido60%
L4Gestionado y medible80%
L5Optimizado100%

La eficacia de la salvaguarda se calcula como:

Si=Nivel de madurez5S_i = \frac{\text{Nivel de madurez}}{5}

Paso 8: Calcular el riesgo residual

El riesgo residual es el riesgo que queda tras aplicar las salvaguardas existentes:

Ri=RR×Si=R×(1Si)R_i = R - R \times S_i = R \times (1 - S_i)

Si el riesgo residual supera el umbral aceptable para la categoría del sistema, se debe incluir en el Plan de Tratamiento de Riesgos (PTR).

Umbrales orientativos por categoría

CategoríaUmbral de riesgo aceptable
BásicaRi80R_i \leq 80
MediaRi48R_i \leq 48
AltaRi24R_i \leq 24

Para los riesgos que superan el umbral, se mejoran las salvaguardas mediante un Plan de Tratamiento de Riesgos (PTR) y se calcula el riesgo final esperado:

Rf=RR×Sf=R×(1Sf)R_f = R - R \times S_f = R \times (1 - S_f)

Donde SfS_f es la nueva eficacia de la salvaguarda tras implementar las mejoras del PTR (reemplaza a SiS_i, no se acumula).

Resultado: Plan de Tratamiento de Riesgos (PTR)

El PTR organiza las mejoras necesarias en proyectos concretos (PTR-01, PTR-02, etc.). Cada proyecto incluye tres secciones:

Cabecera del proyecto

  • Proyecto: descripción de la acción de mitigación (ej. “Configuración de MFA en el acceso a los servidores”)
  • Responsable del proyecto
  • Fecha prevista de fin para el proyecto completo
  • Recursos necesarios: categorías como “tiempo de ejecución”, “recursos económicos y tiempo”, o “tiempo y personal”
  • ID ENS: control del ENS relacionado

Riesgos tratados

Se copian los datos de cada riesgo que aborda el proyecto desde el análisis de riesgos: ID, activo, amenaza y vulnerabilidad. Un mismo proyecto puede tratar varios riesgos relacionados.

Tareas del proyecto

El proyecto se desglosa en tareas ordenadas (ej. compra, instalación, configuración, pruebas), cada una con:

  • Responsable de la tarea (puede variar por tarea)
  • Tarea: descripción de la acción concreta
  • Fecha de inicio y fecha de fin
  • Seguimiento: registro libre con fecha y resultado — no un simple “completado sí/no”, sino una explicación de lo que ocurrió (los auditores valoran el porqué)

Realiza tu análisis en app.esquema.dev

El análisis de riesgos MAGERIT puede ser complejo — nuestra herramienta simplifica el proceso:

  • La IA genera un borrador de amenazas y controles para cada activo, basándose en su tipo y clasificación MAGERIT
  • Tú solo revisas y ajustas los valores propuestos
  • Los cálculos (RR, RiR_i, RfR_f) se realizan automáticamente
  • Se genera un informe profesional con el PTR incluido

Empieza con la herramienta gratuita de BIA para categorizar tu sistema, y después accede al análisis completo de riesgos en app.esquema.dev.

Siguientes pasos

Si aún no has completado los pasos previos, te recomendamos:

  1. Análisis de Impacto (BIA) — determina la Disponibilidad
  2. Dimensiones CITA — valora Confidencialidad, Integridad, Trazabilidad y Autenticidad
  3. Categorización del sistema — calcula la categoría final (Básica, Media o Alta)

Preguntas frecuentes

¿Qué es MAGERIT 3.0?

MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) es la metodología oficial española para el análisis de riesgos en sistemas de información. La versión 3.0 está alineada con el ENS y es la recomendada por el CCN.

¿Es obligatorio usar MAGERIT para el ENS?

No es obligatorio usar MAGERIT específicamente, pero el ENS requiere un análisis de riesgos formal. MAGERIT 3.0 es la metodología recomendada por el CCN y ampliamente aceptada por las certificadoras.

¿Cuál es la diferencia entre riesgo inicial (R), residual (Ri) y final (Rf)?

El riesgo inicial (R = V × Ia × P) es el riesgo inherente antes de aplicar controles. El riesgo residual (Ri) es el que queda tras considerar las salvaguardas existentes. El riesgo final (Rf) es el esperado tras implementar las medidas adicionales del Plan de Tratamiento de Riesgos.

¿Cuántas amenazas define el catálogo MAGERIT?

El catálogo MAGERIT 3.0 define 113 amenazas organizadas en 4 grupos: desastres naturales (N), de origen industrial (I), errores y fallos no intencionados (E) y ataques intencionados (A).

¿Listo para categorizar tu sistema?

Usa nuestra herramienta gratuita para realizar el análisis de impacto

Usar Herramienta Gratis

Guías relacionadas

Cómo realizar un Análisis de Impacto en el Negocio (BIA) para el ENS

Guía paso a paso para completar el Análisis de Impacto en el Negocio según los requisitos del Esquema Nacional de Seguridad. Aprende a identificar servicios críticos, evaluar impactos y determinar el RTO.

Leer guía

2.215 Certificaciones ENS Analizadas: 6 Hallazgos que Todo Consultor Debe Conocer

Resumen ejecutivo del primer análisis estadístico completo de las certificaciones ENS en España. 6 hallazgos sorprendentes sobre categorías, certificadoras, geografía y predicción con IA.

Leer guía

Categorías ENS en cifras: BÁSICA, MEDIA y ALTA en 2.215 certificaciones

Distribución real de las categorías ENS en España. Datos de 2.215 certificaciones: qué porcentaje es ALTA, MEDIA o BÁSICA, qué sectores y servicios se asocian con cada categoría, y cómo predecir la tuya.

Leer guía