MAGERIT

POR 

ANJUJE

zANGELA MARCELA LOPEZ MARTINEZ

JEFERSON ALEJANDRO ORREGO SOSA
JUAN CARLOS CIFUENTES CASTRO
 BUEN GOBIERNO

La gestión de los riesgos es una piedra angular en las guías

de buen gobierno [ISO 38500], público o privado, donde se
considera un principio fundamental que las decisiones de
gobierno se fundamenten en el conocimiento de los riesgos
que implican:  Recopilación de los beneficios, costos,
riesgos, oportunidades, y otros factores que deben tenerse
en cuenta en las decisiones que se tomen. 

z
 CONFIANZA
 Lo ideal es que los sistemas no fallen. Pero lo cierto que se
acepta convivir con sistemas que fallan. El asunto no es
tanto la ausencia de incidentes como la confianza en que
están bajo control: se sabe qué puede pasar y se sabe qué
hacer cuando pasa.

z
 z

GESTIÓN 

Conocer el riesgo al que están sometidos los elementos de

trabajo es, simplemente, imprescindible para poder
gestionarlos. En el periodo transcurrido desde la publicación
de la primera versión de Magerit (1997) hasta la fecha, el
análisis de riesgos se ha venido consolidando como paso
necesario para la gestión de la seguridad.
z
z
MAGERIT
Siguiendo la terminología de la normativa ISO 31000, Magerit
responde a lo que se denomina “Proceso de Gestión de los
Riesgos”
 ANÁLISIS Y GESTIÓN DE RIESGOS
z Seguridad es la capacidad de las redes o de los sistemas de
información para resistir, con un determinado nivel de
confianza, los accidentes o acciones ilícitas o
malintencionadas que comprometan la disponibilidad,
autenticidad, integridad y confidencialidad de los datos
almacenados o transmitidos y de los servicios que dichas
redes y sistemas ofrecen o hacen accesibles.
 TRATAMIENTO DE LOS RIESGOS
z proceso destinado a modificar el riesgo. Hay múltiples formas de
tratar un riesgo: evitar las circunstancias que lo provocan, reducir
las posibilidades de que ocurra, acotar sus consecuencias,
compartirlo con otra organización (típicamente contratando un
servicio o un seguro de cobertura), o, en última instancia, aceptando
que pudiera ocurrir y previendo recursos para actuar cuando sea
necesario.
 Método de análisis de riesgos
z

El análisis de riesgos es una aproximación metódica para

determinar el riesgo siguiendo unos pasos pautados:
1. determinar los activos relevantes para la Organización, su
interrelación y su valor, en el sentido de qué perjuicio (coste)
supondría su degradación.
2. determinar a qué amenazas están expuestos aquellos activos.
3. determinar qué salvaguardas hay dispuestas y cuán eficaces
son frente al riesgo.
4. estimar el impacto, definido como el daño sobre el activo
derivado de la materialización de la amenaza.
5. estimar el riesgo, definido como el impacto ponderado con la
tasa de ocurrencia (o expectativa de materialización) de la
amenaza Con el objeto de organizar la presentación, se
introducen los conceptos de “impacto y riesgo potenciales”
 z Activos Componente o funcionalidad de un sistema de información susceptible

de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye:

información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos
administrativos, recursos físicos y recursos humanos.
 Valoración
z
¿Por qué interesa un activo? Por lo que vale. No se está hablando
de lo que cuestan las cosas, sino de lo que valen. Si algo no vale
para nada, prescíndase de ello.
La valoración se puede ver desde la perspectiva de la ‘necesidad
de proteger’
El valor puede ser propio, o puede ser acumulado.
z