La gestión de riesgo bajo el enfoque de la metodología MAGERIT y su relación con la seguridad de la información

Abstract

La presente investigación abordó el problema de la ausencia de un proceso estructurado para la gestión de riesgos de tecnologías de la información, lo cual limita la capacidad de las organizaciones para proteger la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de sus activos de información. Ante esta necesidad, el estudio tuvo como propósito analizar y demostrar la relación entre la gestión de riesgos basada en la metodología MAGERIT y los requerimientos de seguridad de la información establecidos por los marcos internacionales ISO/IEC 27001 e ISO/IEC 27005. El fundamento teórico se apoyó en los principios esenciales de la seguridad de la información y en los lineamientos de la gestión de riesgos propuestos por ISO 31000 y la familia ISO/IEC 27000. En el desarrollo del estudio también se tomó en cuenta la estructura metodológica de MAGERIT v3. Se trabajó sobre todo en sus etapas principales, aquellas que exigen identificar los activos, revisar las amenazas y las vulnerabilidades, y luego avanzar hacia la valoración del impacto y la probabilidad. Después de eso, tocó estimar el riesgo, tanto el inherente como el residual, y cerrar con la priorización de los tratamientos. Metodológicamente, la investigación siguió un enfoque descriptivo y aplicado. No se buscó complicar el diseño, sino construir un modelo basado en MAGERIT que permitiera mostrar con cierta claridad cómo se desarrolla cada etapa. En la práctica, esto significó usar escenarios técnicos y operativos que fueran reconocibles para quienes trabajan en el área; algunos de ellos los conocía ya por experiencias propias en proyectos anteriores y ayudaron bastante a organizar las actividades. Durante ese proceso se elaboraron distintos instrumentos para recolectar información. Entre ellos estaban las fichas de activos —que costó un poco estandarizar—, matrices de riesgo ajustadas al contexto, modelos de dependencia y esquemas de valoración adaptados a lo que indica la ISO/IEC 27005. Tuvieron que hacerse varias correcciones, ya que algunos datos llegaban incompletos o con inconsistencias, algo que suele pasar en levantamientos reales. Al final, los resultados mostraron que aplicar MAGERIT de manera sistemática permite ordenar mejor los activos críticos, describir con mayor claridad las amenazas y detectar vulnerabilidades que, en otras circunstancias, se habrían pasado por alto. El cálculo del riesgo también ganó detalle, lo que hizo posible obtener valores más coherentes y útiles para quienes

9

deben tomar decisiones. También se pudo ver que la metodología ayuda bastante a relacionar los riesgos identificados con los requisitos de seguridad que plantea la ISO/IEC 27001. Esto no fue algo menor, porque permitió confirmar —de manera práctica, no solo teórica— que MAGERIT funciona como un marco que integra bien ambos enfoques y facilita el diseño de políticas y controles. En la revisión de documentos internos, por ejemplo, hubo varios momentos en los que la correspondencia entre un riesgo concreto y un requisito de la norma resultó mucho más clara gracias al esquema de MAGERIT, algo que en experiencias pasadas, sin un método formal, costaba mucho más visualizar. Al cierre del análisis se pudieron plantear algunos lineamientos iniciales para el tratamiento de los riesgos. No son definitivos, pero sí suficientes para mostrar que integrar MAGERIT en los procesos de gestión de la seguridad tiene sentido y aporta una base ordenada para continuar con las siguientes etapas. Hay todavía trabajo por hacer, pero los resultados dejan claro que el uso de esta metodología encaja bien con las necesidades reales de la organización.

The present research addressed the issue of the absence of a structured process for managing information technology risks, a gap that limits an organization’s ability to protect the confidentiality, integrity, availability, authenticity, and traceability of its information assets. In response to this need, the study aimed to analyze and demonstrate the relationship between risk management based on the MAGERIT methodology and the information security requirements established by the international frameworks ISO/IEC 27001 and ISO/IEC 27005. The theoretical foundation relied on the essential principles of information security and the risk-management guidelines proposed by ISO 31000 and the ISO/IEC 27000 family. The study also considered the methodological structure of MAGERIT v3, focusing mainly on its core stages: identifying assets, reviewing threats and vulnerabilities, and then moving on to assessing impact and probability. After that, the process required estimating the risk—both inherent and residual—and concluding with the prioritization of treatments. Methodologically, the research followed a descriptive and applied approach. The goal was not to complicate the design but to build a model based on MAGERIT that would clearly show how each stage unfolds. In practice, this involved using technical and operational scenarios familiar to professionals working in the field; some of them were already known to the researcher from previous project experiences, which helped considerably in organizing the activities. During the process, different instruments were developed to gather information. These included asset worksheets—which took some effort to standardize— context-adjusted risk matrices, dependency models, and assessment schemes adapted to what ISO/IEC 27005 recommends. Several corrections had to be made, as some data

arrived incomplete or inconsistent, something that often happens in real information- gathering processes. In the end, the results showed that applying MAGERIT

systematically makes it easier to organize critical assets, describe threats more clearly, and detect vulnerabilities that might otherwise have gone unnoticed. The risk calculation also gained detail, making it possible to obtain more coherent and useful values for decision-makers. It also became evident that the methodology helps link the identified risks with the security requirements established in ISO/IEC 27001. This was particularly relevant because it confirmed—through practice, not just theory—that

11

MAGERIT works as a framework that integrates both approaches and supports the design of policies and controls. While reviewing internal documents, for example, there were several moments when the correspondence between a specific risk and a requirement of the standard became much clearer thanks to MAGERIT’s structure— something that, in past experiences without a formal method, was much harder to visualize. By the end of the analysis, it was possible to outline some initial guidelines for risk treatment. They are not final, but they are sufficient to show that integrating MAGERIT into security-management processes is logical and provides an organized foundation for the next stages. There is still work ahead, but the results clearly indicate that the use of this methodology fits well with the organization’s real needs.