La Metodología MAGERIT, es un método formal para investigar los riesgos que soportan los Sistemas de Información y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos.
Destinatarios
:
Cualquier Administración Pública
Organismos Responsables
:
Ministerio para la Transformación Digital y de la Función Pública
Secretaria de Estado de Función Pública
Secretaría General de Administración Digital
Contacto
:
Miguel Ángel Amutio Gómez Director de Planificación y Coordinación de Ciberseguridad miguel.amutio@correo.gob.es
Tipo de Solución
:
Regulación
Estado de la Solución
:
Producción
Área orgánica
:
Estatal
Área técnica
:
Servicios horizontales para las AA.PP
,
Normalización y regulación
Área funcional
:
Gobierno y Sector Público
Licencia
:
No aplica
Nivel Interoperabilidad
:
Legal
Descripción
MAGERIT versión 3 es la metodología de análisis y gestión de riesgos elaborada en su día por el antiguo Consejo Superior de Administración Electrónica y actualmente mantenida por la Secretaría General de Administración Digital (Ministerio de Asuntos Económicos y Transformación Digital) con la colaboración del Centro Criptológico Nacional (CCN).
MAGERIT es una metodología de carácter público que puede ser utilizada libremente y no requiere autorización previa. Interesa principalmente a las entidades en el ámbito de aplicación del Esquema Nacional de Seguridad (ENS) para satisfacer el principio de la gestión de la seguridad basada en riesgos, así como el requisito de análisis y gestión de riesgos, considerando la dependencia de las tecnologías de la información para cumplir misiones, prestar servicios y alcanzar los objetivos de la organización.
Siguiendo la terminología de la normativa ISO 31000, MAGERIT responde a lo que se denomina “Proceso de Gestión de los Riesgos”, sección 4.4 (“Implementación de la Gestión de los Riesgos”) dentro del “Marco de Gestión de Riesgos”. En otras palabras, MAGERIT implementa el Proceso de Gestión de Riesgos dentro de un marco de trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la información.
Figura 1. ISO 31000 - Marco de trabajo para la gestión de riesgos
MAGERIT figura en el inventario de métodos de análisis y gestión de riesgos de ENISA en:
La versión 3 de MAGERIT, metodología de análisis y gestión de riesgos de los sistemas de información, mantiene en gran medida la estructura de la versión 2 y se ha actualizado para proporcionarle un mejor alineamiento con la normativa ISO
Se persigue una integración de las tareas de análisis de riesgos dentro de un marco organizacional de gestión de riesgos dirigido desde los órganos de gobierno. También, a la luz de la experiencia de aplicación, se ha aligerado el texto, se han eliminado partes poco importantes o poco usadas y se ha mejorado la normalización de las actividades.
Se encuentra disponible en el CTT la Metodología MAGERIT, método formal para investigar los riesgos que soportan los Sistemas de Información, y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos. En el área de descargas están disponibles, en español e inglés, los tres Libros que conforma la metodología: Método, Catálogo de Elementos y Guía de Técnicas. el Libro I también se encuentra disponible en italiano
