Tema 37: Análisis y Gestión de Riesgos – MAGERIT | Oposiciones SAS

📊 TEMA 37

Análisis y Gestión de Riesgos. MAGERIT, la metodología del Consejo Superior de Informática de análisis y gestión de riesgos de los sistemas de información. El plan de seguridad. Técnicas de análisis para estimación del impacto y el riesgo. Los modelos cualitativo y cuantitativo. La herramienta PILAR.

Preparador: Esteban Castro | Oposición: Técnico/a Especialista en Informática del SAS

💡 Por qué este tema es CRÍTICO para tu oposición

Compañero/a opositor/a, déjame decirte algo con total claridad: este tema es de los que más caen en el examen. Y no estoy exagerando. En los últimos 5 años, MAGERIT y el ENS han aparecido en prácticamente TODAS las convocatorias del SAS, tanto en preguntas de teoría como en supuestos prácticos.

¿Por qué? Porque el análisis de riesgos es la columna vertebral de toda la seguridad de la información en el sector público andaluz. Desde que entró en vigor el Real Decreto 311/2022 del Esquema Nacional de Seguridad, la gestión de riesgos es OBLIGATORIA para todos los sistemas de información de la Administración.

En el SAS manejamos datos de salud de más de 8 millones de andaluces. Sistemas como Diraya, BDU (Base de Datos Única), Receta XXI o el repositorio de imagen médica son infraestructuras críticas que requieren un análisis exhaustivo de amenazas, vulnerabilidades e impactos. Y tú, como futuro/a Técnico/a Especialista en Informática, vas a ser protagonista directo de estos análisis.

Lo que vas a dominar después de estudiar este tema:

La metodología MAGERIT versión 3 al dedillo (conceptos, fases, tipos de análisis)
La herramienta PILAR del CCN y cómo usarla en entornos sanitarios
Diferencias entre análisis cualitativo y cuantitativo (pregunta que cae SIEMPRE)
Cómo elaborar un Plan de Seguridad conforme al ENS
Identificación de activos, amenazas, vulnerabilidades y salvaguardas
Valoración de riesgos: impacto, probabilidad y riesgo residual

1. Introducción: La Gestión de Riesgos en el Contexto del SAS

La gestión de riesgos en sistemas de información no es una moda pasajera ni un capricho burocrático. Es una obligación legal que se fundamenta en tres pilares normativos esenciales:

Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS)
Reglamento (UE) 2016/679 (RGPD) y su aplicación al tratamiento de datos de salud
Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)

En el SAS, que es el mayor sistema sanitario público de Andalucía con más de 100.000 profesionales sanitarios y una población de referencia superior a 8,5 millones de personas, la gestión de riesgos adquiere una dimensión crítica. Piensa en las consecuencias de una brecha de seguridad en sistemas como:

🏥 Ejemplos de Sistemas Críticos en el SAS

Diraya Historia de Salud Digital: Contiene millones de historias clínicas electrónicas. Un incidente de seguridad podría exponer datos sensibles de pacientes, vulnerando el secreto médico y el RGPD.
BDU (Base de Datos Única): Repositorio centralizado de información clínica. Su indisponibilidad paralizaría la atención sanitaria en toda Andalucía.
Receta XXI: Sistema de prescripción y dispensación electrónica. Un fallo comprometería el acceso a medicamentos de pacientes crónicos y polimedicados.
Sistema de Cita Previa ClicSalud+: Gestiona millones de citas anuales. Su caída generaría colapso en la atención primaria.
Repositorio de Imagen Médica (RIS/PACS): Almacena radiografías, TAC, resonancias. Su pérdida afectaría diagnósticos y tratamientos oncológicos.

Por todo ello, el análisis y gestión de riesgos no es un documento más para el cajón. Es un proceso vivo, continuo y sistemático que permite:

Identificar qué activos de información tenemos y cuál es su valor real
Analizar qué amenazas pueden materializarse y con qué probabilidad
Evaluar el impacto potencial en las dimensiones de confidencialidad, integridad y disponibilidad
Decidir qué medidas de seguridad (salvaguardas) aplicar según el principio de proporcionalidad
Monitorizar la efectividad de los controles y la evolución del entorno de amenazas

📌 IMPORTANTE PARA EL EXAMEN:

El ENS establece en su artículo 10 que «Las Administraciones Públicas gestionarán los riesgos de seguridad de la información de forma continua y sistemática». Esto implica que NO es suficiente con hacer un análisis de riesgos puntual en la fase inicial del sistema; debe revisarse periódicamente (se recomienda anualmente o cuando haya cambios significativos).

1.1. Marco Conceptual: ¿Qué es un Riesgo?

Antes de entrar en MAGERIT, necesitas tener cristalino el concepto de riesgo. En el contexto de la seguridad de la información, un riesgo es la estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización.

La fórmula básica (aunque luego lo veremos con más detalle) es:

RIESGO = ACTIVO × AMENAZA × VULNERABILIDAD

Donde:

ACTIVO: Recurso del sistema de información que tiene valor para la organización (datos, aplicaciones, hardware, personas, instalaciones…)
AMENAZA: Evento que puede desencadenar un incidente de seguridad causando daños materiales o inmateriales (fuego, inundación, malware, error humano, acceso no autorizado…)
VULNERABILIDAD: Debilidad en un activo que puede ser explotada por una amenaza (falta de copias de seguridad, ausencia de cifrado, contraseñas débiles, software sin actualizar…)

1.2. Las Tres Dimensiones de la Seguridad (pregunta ESTRELLA de examen)

En MAGERIT (y esto te lo preguntarán seguro), los activos se valoran según tres dimensiones fundamentales, que coinciden con los principios de seguridad establecidos por la ISO 27001:

Dimensión	Definición	Ejemplo en el SAS
Confidencialidad [C]	Propiedad de que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados	Los datos de salud en Diraya solo pueden ser consultados por profesionales autorizados que atiendan al paciente
Integridad [I]	Propiedad de exactitud y completitud de la información	Las dosis de medicación en Receta XXI deben ser correctas; un error podría causar daño al paciente
Disponibilidad [D]	Propiedad de ser accesible y utilizable bajo demanda por una entidad autorizada	El sistema de Cita Previa debe estar operativo 24/7; su caída impide el acceso a la atención sanitaria

⚠️ ERROR COMÚN EN EXÁMENES:

Muchos opositores confunden disponibilidad con rendimiento. La disponibilidad se refiere a que el sistema esté operativo y accesible cuando se necesite (medido en % de uptime, típicamente 99,9%). El rendimiento (o performance) es la velocidad con la que el sistema responde a las peticiones.

1.3. El Rol de MAGERIT en el Cumplimiento Normativo

MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) es la metodología oficial de la Administración General del Estado española, desarrollada por el Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia (CNI).

Su uso es prácticamente obligatorio en el sector público por varias razones:

El ENS establece que debe realizarse un análisis de riesgos formal para sistemas de categoría ALTA (y semiformal para categoría MEDIA)
La Resolución de 8 de abril de 2021 de la Dirección Gerencia del SAS aprueba la Política de Seguridad TIC del SAS, que hace referencia explícita a MAGERIT
MAGERIT es coherente con estándares internacionales como ISO 31000 (gestión de riesgos) e ISO 27005 (riesgos de seguridad de la información)
La herramienta PILAR del CCN implementa MAGERIT de forma práctica y es gratuita para la Administración

Actualmente está vigente MAGERIT versión 3.0, publicada en 2012 y actualizada en 2014. Se compone de tres libros fundamentales que debes conocer:

Libro I – Método: Describe la metodología en sí, sus conceptos, procesos y actividades
Libro II – Catálogo de Elementos: Proporciona un catálogo de tipos de activos, amenazas y salvaguardas estándar
Libro III – Guía de Técnicas: Detalla técnicas específicas como árboles de ataque, análisis costo-beneficio, etc.

2. MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

2.1. Objetivos y Alcance de MAGERIT

MAGERIT tiene como objetivo principal «proporcionar a los responsables de los sistemas de información un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y las comunicaciones (TIC) y para gestionar la implantación de las medidas de seguridad oportunas».

En términos prácticos, MAGERIT te ayuda a responder tres preguntas fundamentales:

❓ Pregunta 1: ¿Qué tenemos que proteger?

Identificación y valoración de activos (información, servicios, aplicaciones, equipos, redes, instalaciones, personal…)

❓ Pregunta 2: ¿De qué lo tenemos que proteger?

Identificación de amenazas (accesos no autorizados, malware, desastres naturales, errores humanos, ataques dirigidos…)

❓ Pregunta 3: ¿Cómo lo vamos a proteger?

Selección e implantación de salvaguardas (medidas de seguridad preventivas, detectivas, correctivas y de recuperación)

El alcance de MAGERIT abarca todo el ciclo de vida de los sistemas de información: desde su concepción y diseño, pasando por el desarrollo, implantación y operación, hasta su desmantelamiento y retirada.

2.2. Conceptos Fundamentales de MAGERIT (MEMORIZA ESTO)

Vamos a repasar los conceptos clave que aparecen constantemente en las preguntas de examen. Léelos con atención y hazles un subrayado mental:

📚 ACTIVO

Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones, equipos informáticos, redes de comunicaciones, soportes de información, equipamiento auxiliar, instalaciones, personal.

Ejemplo SAS: La Base de Datos Única (BDU) es un activo de información de valor MUY ALTO porque contiene toda la historia clínica de los pacientes andaluces.

🎯 AMENAZA

Evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. Puede ser de origen natural, del entorno, defectos de las aplicaciones o causadas por las personas (de forma accidental o deliberada).

Ejemplo SAS: Un ataque de ransomware tipo WannaCry podría cifrar los datos de Diraya, haciendo inaccesibles las historias clínicas.

🔓 VULNERABILIDAD

Debilidad de un activo o de una salvaguarda que puede ser aprovechada por una amenaza. Las vulnerabilidades por sí solas no causan daños, pero permiten que las amenazas se materialicen.

Ejemplo SAS: La ausencia de autenticación de doble factor (2FA) en el acceso a Diraya es una vulnerabilidad que facilita el acceso no autorizado si se compromete una contraseña.

💥 IMPACTO

Consecuencia sobre un activo derivada de la materialización de una amenaza. Se mide en las dimensiones de confidencialidad, integridad y disponibilidad. Puede ser directo (sobre el propio activo afectado) o indirecto/acumulado (sobre activos que dependen del afectado).

Ejemplo SAS: Si el servidor de Diraya se incendia (amenaza de fuego), el impacto directo es la pérdida del hardware; el impacto indirecto es la indisponibilidad del servicio de historia clínica digital.

⚠️ RIESGO

Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños a la organización. Se calcula combinando el impacto y la probabilidad de ocurrencia.

Fórmula: RIESGO = IMPACTO × PROBABILIDAD

Ejemplo SAS: El riesgo de que un profesional sanitario acceda indebidamente a la historia clínica de un paciente famoso es ALTO (impacto alto en confidencialidad × probabilidad media por la curiosidad humana).

🛡️ SALVAGUARDA (o Medida de Seguridad)

Procedimiento o mecanismo tecnológico u organizativo que reduce el riesgo. Las salvaguardas actúan de tres formas: reduciendo la probabilidad de que la amenaza se materialice (preventivas), minimizando el impacto si ocurre (limitadoras), o facilitando la recuperación posterior (recuperativas).

Ejemplo SAS: Implementar copias de seguridad diarias de Diraya en un CPD secundario es una salvaguarda recuperativa que reduce el riesgo de pérdida de información ante un desastre.

2.3. El Proceso MAGERIT: Fases y Actividades

MAGERIT estructura el análisis de riesgos en actividades secuenciales que, sin embargo, pueden realizarse de forma iterativa según las necesidades del proyecto. Vamos a desglosar cada fase con el nivel de detalle que necesitas para el examen:

🔍 FASE 1: Caracterización de los Activos

Objetivo: Identificar qué activos componen el sistema de información y determinar su valor para la organización.

Actividades:

Identificar los activos relevantes: Se elabora un inventario completo clasificando los activos por tipos (según el catálogo MAGERIT: información [D], claves criptográficas [K], servicios [S], aplicaciones software [SW], equipos informáticos [HW], redes de comunicaciones [COM], soportes de información [media], equipamiento auxiliar [AUX], instalaciones [L], personal [P])
Establecer dependencias entre activos: Se identifican las relaciones de dependencia. Por ejemplo, el servicio de Historia Clínica [S] depende de la aplicación Diraya [SW], que a su vez depende del servidor de aplicaciones [HW], que depende del CPD [L]
Valorar los activos: Se asigna un valor a cada activo en cada dimensión (C, I, D) usando una escala (típicamente 0-10 o Muy Bajo/Bajo/Medio/Alto/Muy Alto). Esta valoración refleja el daño que causaría a la organización la degradación del activo

📊 Ejemplo de Valoración de Activos en el SAS

Activo	Tipo	[C]	[I]	[D]	Justificación
Historia Clínica Electrónica	[D] Datos	10	10	9	Datos de salud especialmente protegidos por RGPD art. 9
Aplicación Diraya	[SW] Software	0	8	10	Su caída paraliza la atención sanitaria en Andalucía
Servidor BD Diraya	[HW] Hardware	0	0	8	Valor instrumental; lo crítico es el servicio que soporta

Nota: Observa cómo la aplicación Diraya tiene confidencialidad [C]=0 porque el software en sí no contiene información sensible; lo que importa es proteger los datos que procesa.

⚡ FASE 2: Caracterización de las Amenazas

Objetivo: Identificar qué amenazas pueden afectar a cada activo y con qué frecuencia/probabilidad.

Actividades:

Identificar las amenazas relevantes: Se usa el catálogo de amenazas de MAGERIT (Libro II) que incluye 5 grandes familias:
- [N] Desastres naturales (inundación, terremoto, relámpagos…)
- [I] De origen industrial (contaminación, avería eléctrica, avería de climatización…)
- [E] Errores y fallos no intencionados (errores del administrador, usuarios, proveedores…)
- [A] Ataques intencionados (acceso no autorizado, suplantación, manipulación, repudio, difusión de software dañino…)
Estimar la frecuencia/probabilidad: Se valora con qué frecuencia podría ocurrir cada amenaza (usando escalas como: muy frecuente > 100/año, frecuente 10-100/año, normal 1-10/año, poco frecuente 0,1-1/año, muy poco frecuente < 0,1/año)
Estimar la degradación: Para cada par [activo-amenaza], se valora cuánto se degradaría el activo en cada dimensión si la amenaza se materializa (escala 0-100%)

🎯 Ejemplo de Amenazas sobre Diraya

Amenaza	Código MAGERIT	Frecuencia	Degradación [C]	Degradación [I]	Degradación [D]
Fallo del servidor principal	[I.1] Fuego	Poco frecuente	0%	0%	100%
Acceso no autorizado a historias clínicas	[A.23] Manipulación de la configuración	Normal	80%	0%	0%
Ransomware	[A.5] Suplantación de la identidad del usuario	Frecuente	60%	100%	100%

📊 FASE 3: Estimación del Riesgo

Objetivo: Calcular el riesgo para cada activo ante cada amenaza, combinando el impacto potencial y la probabilidad de ocurrencia.

Fórmulas clave:

IMPACTO = Valor del activo × Degradación
RIESGO = Impacto × Frecuencia

El resultado es una matriz de riesgos que permite priorizar las actuaciones. En análisis cualitativo, se usan escalas discretas (Muy Bajo, Bajo, Medio, Alto, Muy Alto); en análisis cuantitativo, valores numéricos monetarios (€).

🔑 Tipos de Riesgo (PREGUNTA TÍPICA DE EXAMEN):

Riesgo potencial: Riesgo sobre un activo considerando únicamente su valor intrínseco y la amenaza, SIN tener en cuenta las salvaguardas existentes
Riesgo residual: Riesgo que queda DESPUÉS de aplicar las salvaguardas. Es el riesgo que la organización decide asumir
Riesgo acumulado: Suma del riesgo propio de un activo más el riesgo que recibe de otros activos de los que depende
Riesgo repercutido: Riesgo que un activo transmite a otros activos que dependen de él

🛡️ FASE 4: Tratamiento del Riesgo

Objetivo: Decidir qué hacer con cada riesgo identificado y seleccionar las salvaguardas oportunas.

Opciones de tratamiento del riesgo:

REDUCIR el riesgo: Implantando salvaguardas que disminuyan la probabilidad de materialización de la amenaza o su impacto. Es la opción más común
TRANSFERIR el riesgo: Mediante seguros, externalización de servicios, cláusulas contractuales que transfieran la responsabilidad a terceros
EVITAR el riesgo: Eliminando la actividad que genera el riesgo. Por ejemplo, no ofrecer un servicio telemático si no se pueden garantizar las medidas de seguridad
ACEPTAR el riesgo: Asumir el riesgo residual porque su reducción sería más costosa que el daño potencial. Requiere autorización de la dirección

Tipos de salvaguardas según su función:

Preventivas / Disuasorias / Eliminatorias: Reducen la PROBABILIDAD de que la amenaza se materialice (ej: firewall, control de acceso, formación)
Minimizadoras / Limitadoras: Reducen el IMPACTO si la amenaza se materializa (ej: segmentación de red, cifrado de datos)
Correctivas / Recuperativas: Permiten RESTAURAR el sistema tras un incidente (ej: copias de seguridad, plan de continuidad)
Detectivas / De vigilancia: Permiten DETECTAR incidentes de seguridad (ej: SIEM, IDS, logs, auditorías)

2.4. Diferencias entre Análisis Cualitativo y Cuantitativo

Esta es una de las preguntas que MÁS CAEN en el examen, así que presta mucha atención:

Aspecto	Análisis CUALITATIVO	Análisis CUANTITATIVO
Escalas	Usa escalas discretas ordinales: Muy Bajo, Bajo, Medio, Alto, Muy Alto	Usa valores numéricos continuos, típicamente monetarios (€)
Valoración de activos	Valor expresado como MA, A, M, B, MB	Valor expresado en euros: 10.000€, 500.000€, 5M€
Probabilidad	Frecuencia: Muy frecuente, Frecuente, Normal, Poco frecuente	Probabilidad numérica: 0,001 a 1 (o frecuencia anual: 0,1, 1, 10, 100 eventos/año)
Cálculo del riesgo	Usando tablas de combinación predefinidas	Fórmula matemática: Riesgo = Impacto (€) × Probabilidad
Ventajas	Rápido, sencillo, no requiere datos estadísticos precisos, útil para priorizar	Más preciso, permite análisis coste-beneficio riguroso, justifica inversiones
Desventajas	Menos preciso, no permite calcular ROI exacto	Requiere datos estadísticos fiables, más costoso en tiempo y esfuerzo
Categoría ENS recomendada	BÁSICA y MEDIA	ALTA

⚠️ TRAMPA DE EXAMEN:

La diferencia principal NO es que uno use «palabras» y otro «números». La clave está en que el cualitativo usa escalas discretas ordinales (donde «Alto» > «Medio» pero no sabemos cuánto más) mientras que el cuantitativo usa valores numéricos continuos donde podemos hacer operaciones matemáticas precisas.

💡 Ejemplo Comparativo: Valoración de un Servidor de Diraya

Análisis Cualitativo:

Valor del servidor = ALTO (su caída afectaría gravemente a la atención sanitaria)
Probabilidad de fallo = BAJA (está en un CPD con alta disponibilidad)
Riesgo = MEDIO (según tabla de combinación)

Análisis Cuantitativo:

Valor del servidor = 250.000€ (coste de reposición + coste de oportunidad por indisponibilidad del servicio durante 8h × 500 profesionales afectados × 50€/h = 200.000€)
Probabilidad de fallo = 0,05 (5% anual según datos históricos del CPD)
Riesgo = 250.000€ × 0,05 = 12.500€/año

Con el análisis cuantitativo podemos decidir: si una salvaguarda (ej: clúster de alta disponibilidad) cuesta 8.000€/año y reduce el riesgo a 2.500€/año, tenemos un ahorro neto de 2.000€/año. ¡Es rentable!

3. La Herramienta PILAR del Centro Criptológico Nacional

3.1. ¿Qué es PILAR?

PILAR es el acrónimo de «Procedimiento Informático Lógico para el Análisis de Riesgos». Es una herramienta software gratuita desarrollada por el Centro Criptológico Nacional (CCN-CERT) que implementa la metodología MAGERIT de forma práctica y asistida.

📌 MEMORIZA ESTO PARA EL EXAMEN:

PILAR = Procedimiento Informático Lógico para el Análisis de Riesgos

En el examen del Técnico Titulado Medio de Informática 2025 (pregunta reserva 153), preguntaron específicamente por el significado del acrónimo. La respuesta correcta es: «Procedimiento Informático-Lógico para el Análisis de Riesgos».

3.2. Características y Funcionalidades de PILAR

Gratuita y de código abierto: Disponible para descarga libre en el sitio web del CCN-CERT (https://www.ccn-cert.cni.es)
Multiplataforma: Funciona en Windows, Linux y MacOS
Basada en MAGERIT v3: Implementa fielmente todos los conceptos y procesos de la metodología oficial
Catálogos incluidos: Incorpora los catálogos de MAGERIT (tipos de activos, amenazas, salvaguardas) que puedes usar directamente o personalizar
Análisis cualitativo y cuantitativo: Soporta ambos tipos de análisis
Gestión de salvaguardas: Permite evaluar el coste-beneficio de las medidas de seguridad
Generación de informes: Produce documentación completa del análisis de riesgos (requerido por el ENS)
Interfaz gráfica intuitiva: Facilita la introducción de datos y la visualización de resultados mediante gráficos y matrices

3.3. Dimensiones de Seguridad en PILAR

PILAR permite analizar los riesgos en las cinco dimensiones de seguridad definidas en MAGERIT (aunque habitualmente se trabaja con las tres principales):

[D] Disponibilidad: Capacidad de acceder a la información y sistemas cuando se necesitan
[I] Integridad: Garantía de exactitud y completitud de la información
[C] Confidencialidad: Restricción del acceso solo a entidades autorizadas
[A] Autenticidad: Garantía de que una entidad es quien dice ser
[T] Trazabilidad: Capacidad de reconstruir qué ha ocurrido en el sistema

⚠️ CUIDADO EN EL EXAMEN:

En el examen del Técnico Especialista en Informática 2023 (pregunta 13), preguntaron: «¿Cuál de las siguientes dimensiones de la seguridad es una en la que permite analizar los riesgos la solución PILAR?»

Las opciones eran: A) Continuidad, B) Resiliencia, C) Disponibilidad, D) Fiabilidad

La respuesta correcta es C) Disponibilidad, porque es una de las dimensiones oficiales de MAGERIT/PILAR. «Continuidad», «Resiliencia» y «Fiabilidad» son conceptos relacionados pero NO son dimensiones de análisis en PILAR.

3.4. Proceso de Trabajo con PILAR

El flujo de trabajo típico en PILAR sigue estas etapas:

1️⃣ Creación del Proyecto

Se define el alcance del análisis, el tipo (cualitativo/cuantitativo), las dimensiones a considerar (C, I, D, A, T) y los parámetros generales.

2️⃣ Caracterización de Activos

Se construye el mapa de activos identificando todos los componentes del sistema. PILAR permite organizarlos jerárquicamente y establecer dependencias gráficamente.

Tip del preparador: Empieza siempre por los activos superiores (información y servicios) y ve bajando en la jerarquía (aplicaciones, equipos, instalaciones). Las dependencias se propagan automáticamente.

3️⃣ Valoración de Activos

Se asigna valor a cada activo en cada dimensión. PILAR propone valores automáticos basados en las dependencias, pero el analista debe revisarlos y ajustarlos según el contexto organizativo.

4️⃣ Identificación de Amenazas

PILAR presenta el catálogo completo de amenazas MAGERIT. Para cada activo, se seleccionan las amenazas aplicables y se estiman su frecuencia y degradación.

5️⃣ Cálculo del Riesgo Potencial

PILAR calcula automáticamente el riesgo potencial (sin salvaguardas) combinando valor, amenazas y dependencias. Genera matrices de riesgo priorizadas.

6️⃣ Identificación de Salvaguardas

Se seleccionan del catálogo (o se crean personalizadas) las salvaguardas existentes o planificadas. PILAR relaciona automáticamente qué amenazas mitiga cada salvaguarda.

7️⃣ Cálculo del Riesgo Residual

Teniendo en cuenta las salvaguardas, PILAR recalcula el riesgo residual. Permite comparar escenarios «antes» y «después» de aplicar medidas.

8️⃣ Análisis Coste-Beneficio

Para análisis cuantitativos, PILAR permite comparar el coste de implantación de salvaguardas con la reducción de riesgo que proporcionan, facilitando decisiones de inversión.

9️⃣ Generación de Informes

PILAR genera informes completos en formato PDF/HTML que incluyen: inventario de activos, mapa de dependencias, valoración, amenazas, matriz de riesgos, salvaguardas propuestas, plan de acción priorizado.

✅ Ventajas de usar PILAR en el SAS

Cumplimiento normativo: Facilita cumplir con los requisitos del ENS de documentar el análisis de riesgos
Coherencia: Todos los centros del SAS pueden usar la misma metodología y herramienta, permitiendo comparar riesgos entre sistemas
Trazabilidad: Registra quién hace cada cambio y cuándo, importante para auditorías
Reutilización: Los análisis pueden servir como base para nuevos proyectos similares
Sin coste de licencias: Fundamental en un contexto de recursos limitados del sector público

3.5. Integración de PILAR con el Ciclo de Seguridad del ENS

PILAR no es una herramienta aislada; debe integrarse en el ciclo de mejora continua de la seguridad establecido por el ENS:

Planificar (PLAN): Realizar el análisis de riesgos con PILAR, definir el Plan de Seguridad y el Plan de Tratamiento de Riesgos
Hacer (DO): Implantar las salvaguardas seleccionadas según el plan
Verificar (CHECK): Auditar la eficacia de las salvaguardas, monitorizar indicadores de seguridad
Actuar (ACT): Actualizar el análisis de riesgos en PILAR cuando cambie el entorno (nuevas amenazas, nuevos sistemas, incidentes…)

4. El Plan de Seguridad según el Esquema Nacional de Seguridad

4.1. Marco Normativo y Obligaciones

El Real Decreto 311/2022, de 3 de mayo, que regula el Esquema Nacional de Seguridad (ENS), establece en su artículo 11 la obligación de elaborar y mantener actualizada una Política de Seguridad y un Plan de Seguridad.

Específicamente, el ENS indica que:

«Se aprobará una Política de Seguridad por el órgano superior competente, que será de aplicación en la organización. La Política de Seguridad deberá estar alineada con la estrategia de la organización, y se mantendrá actualizada de acuerdo con las leyes y reglamentos aplicables y con los objetivos de la organización.»

Y en cuanto al Plan de Seguridad:

«Se elaborará una planificación de la seguridad que concrete la política de seguridad en los sistemas de información. Esta planificación se materializará en uno o varios planes que contemplarán el análisis de los riesgos, la gestión de dichos riesgos, las medidas de seguridad a implantar, la gestión de personal y la preparación ante incidentes de seguridad.»

4.2. Estructura del Plan de Seguridad

Aunque el ENS no impone un formato rígido, el Plan de Seguridad típicamente incluye los siguientes apartados:

📄 1. Descripción del Sistema

Identificación del sistema (nombre, código, responsable)
Descripción funcional (qué hace, para qué sirve, a quién da servicio)
Descripción técnica (arquitectura, componentes principales, infraestructura)
Interfaces con otros sistemas
Volúmenes de información y usuarios

🎯 2. Categorización del Sistema

Determinación de la categoría de seguridad (BAJA, MEDIA, ALTA) según el Anexo I del ENS
Valoración de las dimensiones de seguridad (C, I, D, A, T)
Justificación de la categoría asignada

Nota importante: La categoría del sistema determina el nivel de exigencia en las medidas de seguridad. Por ejemplo, un sistema ALTO requiere análisis de riesgos formal, mientras que uno MEDIO permite semiformal.

📊 3. Análisis de Riesgos

Inventario de activos y su valoración
Identificación de amenazas y estimación de probabilidades
Evaluación de vulnerabilidades
Cálculo del riesgo potencial
Mapa de riesgos priorizado

Este apartado es el núcleo del Plan de Seguridad y debe elaborarse siguiendo MAGERIT con herramientas como PILAR.

🛡️ 4. Declaración de Aplicabilidad de Medidas

Identificación de todas las medidas de seguridad del Anexo II del ENS aplicables según la categoría del sistema
Estado de implantación de cada medida (implantada, parcialmente implantada, no implantada, no aplicable)
Justificación de las medidas no aplicables
Nivel de madurez de las medidas implantadas

📋 5. Plan de Tratamiento de Riesgos

Decisión de tratamiento para cada riesgo (reducir, transferir, evitar, aceptar)
Salvaguardas adicionales a implantar
Calendario de implantación
Responsables de cada acción
Presupuesto estimado

🚨 6. Plan de Continuidad y Recuperación

Identificación de funciones críticas
Objetivos de tiempo de recuperación (RTO) y punto de recuperación (RPO)
Estrategias de respaldo (copias de seguridad, sitio alternativo, acuerdos de servicios recíprocos…)
Procedimientos de activación del plan ante desastres
Programa de pruebas y ejercicios

👥 7. Gestión de Personal

Definición de roles y responsabilidades en seguridad
Requisitos de selección de personal para puestos críticos
Programa de formación y concienciación en seguridad
Gestión de altas, bajas y cambios de puesto

⚡ 8. Gestión de Incidentes

Procedimiento de notificación y respuesta ante incidentes
Clasificación y priorización de incidentes
Canales de comunicación con CCN-CERT
Registro y seguimiento de incidentes
Análisis post-mortem y lecciones aprendidas

🔍 9. Auditoría y Revisión

Programa de auditorías internas de cumplimiento ENS
Indicadores de seguridad (KPIs) y cuadros de mando
Procedimiento de revisión y actualización del Plan de Seguridad
Gestión de no conformidades detectadas

4.3. El Plan de Seguridad en el SAS

En el Servicio Andaluz de Salud, la gestión de la seguridad de la información se rige por la Resolución de 8 de abril de 2021 de la Dirección Gerencia del SAS, que aprueba la Política de Seguridad de las Tecnologías de la Información y Comunicación del SAS.

Esta Resolución establece una estructura de gobierno de la seguridad con los siguientes elementos clave:

Comité de Seguridad de la Información del SAS: Órgano colegiado presidido por la Secretaría General del SAS, encargado de aprobar las políticas y planes de seguridad
Responsable de Seguridad TIC del SAS: Figura con atribuciones de supervisión, coordinación y reporte en materia de seguridad
Unidad de Seguridad TIC del SAS: Equipo técnico que define y supervisa los criterios de seguridad en todo el ciclo de vida de los sistemas
Responsables de Seguridad en cada Área / Plataforma: Figuras distribuidas en la organización para garantizar la aplicación de las medidas

📑 Ejemplo: Plan de Seguridad de Diraya

El sistema Diraya Historia de Salud Digital tendría un Plan de Seguridad que incluiría:

Categorización: ALTA (contiene datos de salud de categoría especial según RGPD art. 9)
Análisis de riesgos: Realizado con PILAR/MAGERIT, identificando amenazas como:
- Acceso no autorizado a historias clínicas (alto impacto en confidencialidad)
- Modificación indebida de datos clínicos (alto impacto en integridad)
- Caída del servicio por fallo de infraestructura (alto impacto en disponibilidad)
- Ransomware cifrando la base de datos
Salvaguardas implantadas:
- Control de acceso basado en roles (RBAC) según perfil profesional
- Autenticación fuerte con certificado digital sanitario
- Trazabilidad completa de accesos (logs inmutables)
- Cifrado de datos en reposo y en tránsito
- Arquitectura de alta disponibilidad con clúster activo-activo en dos CPDs
- Copias de seguridad diarias con retención de 7 años
- Plan de continuidad con RTO=4h y RPO=1h

5. Técnicas de Análisis para Estimación del Impacto y el Riesgo

5.1. Técnicas de Valoración de Activos

La valoración de activos es el punto de partida del análisis de riesgos. Existen diferentes enfoques:

5.1.1. Valoración por Coste de Reposición

Se valora el activo según cuánto costaría reemplazarlo o reconstruirlo. Es útil para activos tangibles (hardware, instalaciones) pero insuficiente para activos intangibles como la información o la reputación.

Ejemplo: Un servidor Dell PowerEdge R740 puede valorarse en 15.000€ (precio de mercado + coste de instalación y configuración). Pero si ese servidor aloja la Base de Datos Única del SAS, su valor real es mucho mayor por el impacto de su indisponibilidad.

5.1.2. Valoración por Impacto en el Negocio (BIA)

Se estima el daño que causaría la pérdida o degradación del activo en términos de:

Coste económico directo (pérdidas financieras, multas, indemnizaciones)
Coste de oportunidad (servicios no prestados, pacientes no atendidos)
Daño reputacional (pérdida de confianza ciudadana, cobertura mediática negativa)
Incumplimiento legal (sanciones RGPD, responsabilidad patrimonial)
Riesgo para la vida o salud de las personas (en sanidad, esto es crítico)

Ejemplo: Si Diraya queda indisponible durante 8 horas:

Coste directo: ~200.000€ (estimado por horas-hombre perdidas de 500 profesionales sanitarios)
Coste de oportunidad: Imposibilidad de acceder a historias clínicas → retrasos en diagnósticos y tratamientos
Daño reputacional: Titulares en prensa → «Fallo informático paraliza la sanidad andaluza»
Riesgo sanitario: Posibles errores médicos por falta de información del paciente

Valoración: MUY ALTO en disponibilidad

5.1.3. Valoración Relativa o Comparativa

Se comparan activos entre sí para establecer una escala relativa. Es más rápido que calcular valores absolutos y suficiente para análisis cualitativo.

5.2. Técnicas de Estimación de Probabilidad

5.2.1. Datos Históricos y Estadísticas

Se analizan incidentes pasados en la propia organización o en organizaciones similares para estimar frecuencias. Por ejemplo, el CCN-CERT publica informes anuales de ciberincidentes que pueden usarse como referencia.

5.2.2. Juicio de Expertos (Método Delphi)

Cuando no hay datos históricos suficientes, se recurre a la opinión de expertos en seguridad. El método Delphi consiste en consultar a varios expertos de forma iterativa hasta alcanzar consenso.

5.2.3. Análisis de Vulnerabilidades

Se realizan evaluaciones técnicas (escaneos, auditorías, pentesting) para identificar vulnerabilidades concretas que aumentan la probabilidad de ciertas amenazas.

5.3. Modelos de Cálculo del Riesgo

5.3.1. Modelo Cualitativo con Matrices

Se utilizan tablas de combinación predefinidas que cruzan el nivel de impacto con la probabilidad para obtener el nivel de riesgo.

Impacto ↓ / Probabilidad →	Muy Baja	Baja	Media	Alta	Muy Alta
Impacto ↓ / Probabilidad →	Muy Alto	Medio	Alto	Muy Alto	Crítico	Crítico
Alto	Bajo	Medio	Alto	Muy Alto	Crítico
Medio	Muy Bajo	Bajo	Medio	Alto	Muy Alto
Bajo	Despreciable	Muy Bajo	Bajo	Medio	Alto
Muy Bajo	Despreciable	Despreciable	Muy Bajo	Bajo	Medio

5.3.2. Modelo Cuantitativo: Esperanza de Pérdida Anualizada (ALE)

En análisis cuantitativo, el riesgo se expresa como ALE (Annualized Loss Expectancy) o Pérdida Esperada Anualizada:

ALE = SLE × ARO
donde:
SLE = Single Loss Expectancy (pérdida esperada por incidente)
ARO = Annual Rate of Occurrence (tasa anual de ocurrencia)

💰 Ejemplo de Cálculo ALE

Amenaza: Fallo del sistema de aire acondicionado del CPD principal del SAS

SLE: Si falla el aire acondicionado, los servidores se apagan por sobrecalentamiento. Estimamos:
- Coste de reparación del aire: 5.000€
- Coste de tiempo de inactividad (8h × 50 servicios críticos × 2.000€/h): 800.000€
- Total SLE = 805.000€
ARO: Según el historial del CPD, el sistema de climatización ha fallado 2 veces en los últimos 10 años → ARO = 0,2 (20% de probabilidad anual)
ALE = 805.000€ × 0,2 = 161.000€/año

Decisión: Si implantar un sistema de climatización redundante cuesta 80.000€ y reduce ARO a 0,02 (2%), el nuevo ALE sería 16.100€/año. Ahorro anual: 144.900€. El sistema redundante se amortiza en menos de 7 meses. ¡Es una inversión rentable!

5.4. Análisis de Sensibilidad y Escenarios

Para mejorar la robustez del análisis, se recomienda realizar:

Análisis de sensibilidad: Evaluar cómo cambiaría el riesgo si varían los parámetros (ej: ¿y si la probabilidad fuera el doble?)
Análisis de escenarios: Considerar escenarios best-case, expected-case y worst-case
Análisis de incertidumbre: Reconocer las limitaciones de los datos y expresar rangos de confianza

6. Aplicación Práctica en el Servicio Andaluz de Salud

6.1. Contexto de Seguridad en el SAS

El SAS es una organización compleja con características únicas que condicionan la gestión de riesgos:

Volumen de datos sensibles: Gestiona información sanitaria de más de 8,5 millones de personas
Distribución geográfica: 1.500+ centros distribuidos por toda Andalucía (hospitales, centros de salud, consultorios…)
Criticidad del servicio: Los sistemas TIC soportan procesos asistenciales vitales; su fallo puede poner vidas en riesgo
Diversidad tecnológica: Conviven sistemas legacy (algunos con más de 20 años) con tecnologías modernas (cloud, microservicios, IA)
Marco normativo exigente: Cumplimiento simultáneo de ENS, RGPD, normativa sanitaria (Ley 41/2002), LOPD-GDD, directivas de ciberseguridad (NIS2)
Presión de ciberamenazas: El sector salud es uno de los más atacados (ransomware, robo de datos para fraudes…)

6.2. Sistemas Críticos y sus Riesgos Principales

🏥 Sistema: DIRAYA Historia de Salud Digital

Descripción: Historia clínica electrónica unificada que integra toda la información asistencial del paciente.

Categoría ENS: ALTA (datos personales de salud – categoría especial RGPD)

Principales Amenazas:

[A.6] Abuso de privilegios: Personal sanitario que accede indebidamente a historias de pacientes sin justificación asistencial (ej: famosos, vecinos, conocidos)
[A.5] Suplantación de identidad: Phishing dirigido a profesionales para robar credenciales de acceso
[A.24] Denegación de servicio: Ataque DDoS que satura los servidores impidiendo el acceso a las historias clínicas
[E.8] Difusión de software dañino: Ransomware que cifra la base de datos
[I.1] Fuego: Incendio en el CPD principal

Salvaguardas Implantadas:

Control de acceso basado en roles + trazabilidad completa (logs de acceso auditables)
Autenticación con certificado digital sanitario
Cifrado AES-256 en base de datos
Arquitectura replicada en dos CPDs geográficamente separados
Copias de seguridad diarias + retención histórica de 7 años
WAF + IDS/IPS + monitorización 24×7 con SOC
Plan de continuidad con RTO=4h

Riesgo Residual: MEDIO-ALTO (principalmente por factor humano y sofisticación creciente de ciberataques)

💊 Sistema: RECETA XXI (Prescripción y Dispensación Electrónica)

Descripción: Permite a médicos prescribir medicamentos electrónicamente y a farmacias dispensarlos sin receta en papel.

Categoría ENS: ALTA

Principales Amenazas:

[A.7] Uso no previsto: Prescripción fraudulenta de medicamentos controlados (opioides, psicofármacos)
[E.2] Errores del administrador: Configuración incorrecta que permita dispensaciones duplicadas
[A.11] Acceso no autorizado: Intrusión en el sistema para modificar prescripciones

Controles Clave: Firma electrónica cualificada del prescriptor, alertas de interacciones medicamentosas, cuadros de mando de detección de patrones anómalos de prescripción

🔐 Sistema: CERTIFICACIÓN DIGITAL SANITARIA

Descripción: Infraestructura de clave pública (PKI) que emite certificados digitales a profesionales sanitarios para autenticación y firma.

Categoría ENS: ALTA (su compromiso afectaría a todos los sistemas del SAS)

Principales Amenazas:

[A.22] Manipulación de programas: Compromiso de la Autoridad de Certificación que emitiera certificados falsos
[A.19] Revelación de información: Robo de claves privadas de profesionales

Controles Críticos: HSM (Hardware Security Module) para proteger las claves de la CA, procedimientos estrictos de identificación para emisión de certificados, monitorización de certificados revocados

6.3. Caso Práctico: Análisis de Riesgos de un Proyecto Real en el SAS

Vamos a simular un supuesto práctico del tipo que aparece en el examen (recuerda que en el examen del TFA Informática de Agencia de 2023 hubo todo un bloque de preguntas sobre un sistema categorizado como ALTA):

📝 SUPUESTO PRÁCTICO: Sistema de Telemedicina para Atención Domiciliaria

Contexto: El SAS va a implantar un nuevo sistema de telemedicina que permitirá a profesionales de atención primaria realizar consultas médicas por videoconferencia con pacientes en su domicilio. El sistema incluirá:

Aplicación web para profesionales (navegador en PC corporativo)
Aplicación móvil para pacientes (iOS/Android)
Plataforma de videoconferencia en la nube (Microsoft Teams Healthcare)
Integración con Diraya para consultar/actualizar historia clínica
Almacenamiento de grabaciones de las teleconsultas (con consentimiento del paciente)

Preguntas típicas de examen:

1) ¿Qué categoría ENS le asignarías al sistema?

Respuesta: ALTA. Justificación: El sistema trata datos de salud (categoría especial RGPD art. 9), su indisponibilidad afectaría gravemente a la asistencia sanitaria (dimensión Disponibilidad = ALTA), un acceso no autorizado violaría la intimidad del paciente (Confidencialidad = ALTA), y errores en el registro de información clínica podrían causar daños al paciente (Integridad = ALTA).

2) Identifica los 3 riesgos más críticos y propón salvaguardas.

Respuesta:

Riesgo 1: Acceso no autorizado a grabaciones de teleconsultas
- Amenaza: [A.6] Abuso de privilegios / [A.11] Acceso no autorizado
- Impacto: MUY ALTO en Confidencialidad (exposición de conversaciones médicas íntimas)
- Salvaguardas: Cifrado E2E de videoconferencias, control de acceso estricto a grabaciones (solo profesional que atendió + paciente), logs de acceso, firma de cláusula de confidencialidad por personal TIC
Riesgo 2: Interrupción del servicio de videoconferencia
- Amenaza: [A.24] Denegación de servicio / [I.2] Corte del suministro eléctrico / [I.5] Avería de origen físico
- Impacto: ALTO en Disponibilidad (imposibilidad de atender teleconsultas programadas)
- Salvaguardas: SLA con Microsoft con garantía 99,9% uptime, redundancia de conexión a Internet (dos operadores), procedimiento de fallback a llamada telefónica convencional
Riesgo 3: Modificación no autorizada de información clínica registrada tras la teleconsulta
- Amenaza: [A.11] Manipulación de registros / [E.1] Errores de los usuarios
- Impacto: MUY ALTO en Integridad (diagnósticos o prescripciones incorrectas)
- Salvaguardas: Firma electrónica cualificada de todos los informes, trazabilidad de modificaciones (quién, cuándo, qué cambió), backup inmutable, segregación de funciones (quien registra ≠ quien valida)

3) Según el ENS para categoría ALTA, ¿qué tipo de análisis de riesgos debes realizar?

Respuesta: Análisis de riesgos FORMAL, usando un lenguaje específico con fundamento matemático reconocido internacionalmente. MAGERIT con enfoque cuantitativo cumple este requisito. La herramienta PILAR es adecuada para realizarlo.

6.4. Lecciones Aprendidas de Incidentes Reales

Aunque por motivos de confidencialidad no podemos detallar incidentes concretos del SAS, sí podemos aprender de casos públicos del sector sanitario mundial:

WannaCry en el NHS británico (2017): El ransomware infectó 80 hospitales del sistema de salud del Reino Unido, cancelando 19.000 citas médicas. Causa: sistemas Windows XP sin actualizar (vulnerabilidad EternalBlue). Coste estimado: 92M£. Lección: La gestión de parches es CRÍTICA.
Ataque al Hospital Universitario de Brno (República Checa, 2020): Durante la pandemia COVID-19, un ciberataque forzó la desconexión de todos los sistemas informáticos. Tuvieron que derivar pacientes críticos a otros centros. Lección: Necesidad de planes de continuidad probados.
Filtración de 4,5M historias clínicas en Andalucía (2019): Aunque fue un error administrativo (no un ciberataque), expuso la importancia de controlar accesos a bases de datos. Lección: El factor humano es el eslabón más débil.

7. Cuestionario de Autoevaluación (30 Preguntas Tipo Examen)

💡 Instrucciones: A continuación encontrarás 30 preguntas tipo test extraídas de exámenes reales del SAS (2019-2025) o basadas en los conceptos clave del tema. Todas las preguntas tienen una única respuesta correcta. Al final de cada pregunta encontrarás la respuesta correcta con su explicación detallada. Recomendación: Intenta responder primero sin mirar la solución, y después comprueba tu respuesta y lee la explicación aunque hayas acertado (refuerza el aprendizaje).

Pregunta 1

¿Qué significa oficialmente el acrónimo PILAR en el contexto de MAGERIT?

A) Programa de Implementación Lógica de Análisis de Redes
B) Procedimiento Integral de Levantamiento de Arquitecturas Resilientes
C) Proceso Informático de Localización de Amenazas y Riesgos
D) Procedimiento Informático-Lógico para el Análisis de Riesgos

✅ Respuesta Correcta: D

Explicación:

PILAR es la herramienta oficial del CCN-CERT para aplicar MAGERIT. Su acrónimo significa «Procedimiento Informático-Lógico para el Análisis de Riesgos». Esta pregunta ha aparecido literalmente en el examen de Técnico Titulado Medio Informática 2025 (pregunta reserva 153).

¿Por qué las otras son incorrectas?

A) No es el significado oficial; además, PILAR no se limita a análisis de redes sino a todo el sistema de información
B) «Resilientes» no forma parte del acrónimo; además, PILAR no se enfoca solo en arquitecturas sino en riesgos globales
C) Aunque conceptualmente se acerca, no es el acrónimo oficial establecido por el CCN

Pregunta 2

De acuerdo con la metodología MAGERIT para el análisis de riesgos, ¿cuál de los siguientes sería el PRIMER paso a llevar a cabo?

A) Identificación de Activos
B) Identificación de Amenazas
C) Identificación de Salvaguardas
D) Cálculo del Riesgo Residual

✅ Respuesta Correcta: A

Explicación:

La metodología MAGERIT comienza SIEMPRE con la Identificación de Activos. No puedes analizar amenazas si no sabes qué activos tienes que proteger. El orden lógico es: (1) Activos, (2) Amenazas, (3) Vulnerabilidades, (4) Riesgos, (5) Salvaguardas.

Esta pregunta apareció en el examen de TFA Informática Agencia 2023 (pregunta 40) y en el de Técnico Especialista Informática 2019 (pregunta 121).

Pregunta 3

¿Qué elemento distingue principalmente el análisis CUALITATIVO del CUANTITATIVO en MAGERIT?

A) El uso de escalas de valores discretos (Alto, Medio, Bajo) para valorar activos y amenazas
B) La implementación de controles de seguridad específicos
C) El tiempo necesario para realizar el análisis
D) La necesidad de usar la herramienta PILAR

✅ Respuesta Correcta: A

Explicación:

La diferencia CLAVE entre análisis cualitativo y cuantitativo es el tipo de escala utilizada. El cualitativo usa escalas discretas ordinales (Muy Bajo, Bajo, Medio, Alto, Muy Alto) mientras que el cuantitativo usa valores numéricos continuos (típicamente monetarios en €).

Esta pregunta apareció en el examen SAS Técnico Titulado Medio Informática 2025 (pregunta 91). Las opciones B, C y D son incorrectas porque:

B) La implementación de controles es posterior al análisis, no un elemento distintivo entre tipos de análisis
C) El tiempo puede variar pero no es la distinción metodológica fundamental
D) PILAR soporta ambos tipos de análisis (cualitativo y cuantitativo)

Pregunta 4

¿Cuál de las siguientes dimensiones de la seguridad es una en la que permite analizar los riesgos la herramienta PILAR?

A) Continuidad
B) Resiliencia
C) Disponibilidad
D) Fiabilidad

✅ Respuesta Correcta: C

Explicación:

PILAR permite analizar riesgos en las 5 dimensiones oficiales de MAGERIT: Confidencialidad [C], Integridad [I], Disponibilidad [D], Autenticidad [A] y Trazabilidad [T]. De las opciones, solo Disponibilidad es una dimensión oficial.

Esta pregunta apareció en el examen de Técnico Especialista en Informática 2023 (pregunta 13).

Trampa común: «Continuidad», «Resiliencia» y «Fiabilidad» son conceptos relacionados con la seguridad pero NO son dimensiones de valoración en MAGERIT/PILAR.

Pregunta 5

¿Cuál es el principal objetivo de la metodología MAGERIT?

A) Realizar auditorías de cumplimiento normativo
B) Gestionar exclusivamente la seguridad física de los sistemas informáticos
C) Garantizar la instalación adecuada de hardware en las organizaciones
D) Proporcionar una guía para el análisis y gestión de riesgos en sistemas de información

✅ Respuesta Correcta: D

Explicación:

El objetivo principal de MAGERIT es «proporcionar una guía sistemática para analizar y gestionar los riesgos de los sistemas de información». No se limita a auditorías, seguridad física o hardware, sino que abarca todos los aspectos de la seguridad de la información.

Esta pregunta apareció en el examen de Técnico Especialista Promoción Interna (pregunta 53) y en el de Informática Libre OEP 2025.

Pregunta 6

En la identificación de dependencias entre activos, ¿cuál de las siguientes afirmaciones es CORRECTA?

A) La aplicación depende del servicio prestado
B) La aplicación depende de los profesionales
C) La información y el servicio prestado dependen tanto del equipamiento (hardware, software y equipamiento auxiliar) como de la aplicación
D) El centro de proceso de datos depende del equipamiento

✅ Respuesta Correcta: C

Explicación:

En MAGERIT, las dependencias siguen una jerarquía de arriba hacia abajo: La información y los servicios (activos superiores) dependen de las aplicaciones, que a su vez dependen del equipamiento (hardware, software, redes), que depende de las instalaciones.

Esta pregunta apareció en el examen de Técnico Especialista 2019 (pregunta 122).

Por qué las otras son incorrectas:

A) Al revés: el servicio depende de la aplicación, no viceversa
B) Aunque las aplicaciones las usan profesionales, la dependencia técnica es con el equipamiento
D) Al revés: el equipamiento depende del CPD (necesita las instalaciones), no viceversa

Pregunta 7

¿Cuál de las dimensiones de seguridad utilizaríamos para la valoración de activos en un análisis de riesgos?

A) Solo Confidencialidad
B) Solo Integridad
C) Solo Disponibilidad
D) Confidencialidad, Integridad y Disponibilidad (las tres)

✅ Respuesta Correcta: D

Explicación:

En MAGERIT, cada activo debe valorarse en TODAS las dimensiones aplicables: Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad. Como mínimo, siempre se consideran las tres primeras (C, I, D), que son también las del modelo CIA clásico de seguridad de la información.

Esta pregunta apareció en el examen de Técnico Especialista 2019 (pregunta 123).

Ejemplo: La Base de Datos Única del SAS tendría:

[C] = MUY ALTO (contiene datos de salud sensibles)
[I] = MUY ALTO (errores en los datos pueden causar daño a pacientes)
[D] = MUY ALTO (su indisponibilidad paraliza la asistencia sanitaria)

Pregunta 8

Para un determinado activo y amenaza, queremos escoger un conjunto de salvaguardas capaces de REDUCIR LA PROBABILIDAD de ocurrencia de la amenaza. ¿Qué tipo de salvaguardas escogeremos?

A) Solo Preventivas
B) Solo Disuasorias
C) Solo Eliminatorias
D) Preventivas, Disuasorias y Eliminatorias (todas)

✅ Respuesta Correcta: D

Explicación:

Las salvaguardas que actúan sobre la PROBABILIDAD (reduciendo la frecuencia de que la amenaza ocurra) son:

Preventivas: Impiden que la amenaza se materialice (ej: firewall bloquea accesos)
Disuasorias: Desalientan al atacante de intentarlo (ej: cámaras de vigilancia, avisos legales)
Eliminatorias: Eliminan la causa de la amenaza (ej: desconectar un sistema de Internet elimina amenazas de acceso remoto)

Esta pregunta apareció en el examen de Técnico Especialista 2019 (pregunta 124).

En contraste, las salvaguardas que actúan sobre el IMPACTO serían: minimizadoras, correctivas, recuperativas.

Pregunta 9

Para un determinado activo y amenaza, queremos salvaguardas que ACOTEN LA DEGRADACIÓN del activo en caso de que la amenaza se materialice. ¿Qué tipo de salvaguardas necesitamos?

A) Solo Minimizadoras
B) Solo Correctivas
C) Solo Recuperativas
D) Minimizadoras, Correctivas y Recuperativas (todas)

✅ Respuesta Correcta: D

Explicación:

Las salvaguardas que actúan DESPUÉS de que la amenaza ocurre, para limitar el daño o recuperarse, son:

Minimizadoras/Limitadoras: Reducen el alcance del daño (ej: segmentación de red limita propagación de malware)
Correctivas: Corrigen el problema (ej: antivirus elimina el malware detectado)
Recuperativas: Restauran el sistema al estado previo (ej: copias de seguridad permiten recuperar datos)

Esta pregunta apareció en el examen de Técnico Especialista 2019 (pregunta 125).

Ejemplo SAS: Si un ransomware cifra los datos de Diraya:

Minimizadora: Aislamiento rápido del servidor infectado para que no se propague
Correctiva: Análisis forense y limpieza del malware
Recuperativa: Restauración de los datos desde el backup más reciente

Pregunta 10

¿Cuál de los siguientes conceptos se corresponde con la definición: «Riesgo calculado tomando en consideración únicamente el valor propio de un activo, combinado con la degradación causada por una amenaza y su frecuencia, medidas sobre activos de los que depende»?

A) Riesgo acumulado
B) Riesgo potencial
C) Riesgo repercutido
D) Riesgo residual

✅ Respuesta Correcta: C

Explicación:

La definición describe el Riesgo Repercutido. Vamos a distinguir los 4 tipos de riesgo en MAGERIT:

Riesgo Potencial: Riesgo sobre un activo SIN considerar las salvaguardas existentes
Riesgo Residual: Riesgo que queda DESPUÉS de aplicar salvaguardas
Riesgo Acumulado: Suma del riesgo propio + el riesgo recibido de activos de los que depende
Riesgo Repercutido: Riesgo que un activo TRANSMITE a otros que dependen de él

Esta pregunta apareció en el examen de Técnico Especialista 2019 (pregunta 126).

Ejemplo: Si falla el servidor de base de datos [HW], el riesgo repercutido es el que afecta a la aplicación Diraya [SW] que depende de ese servidor.

Pregunta 11

Según el ENS, ¿qué sistemas requieren un análisis de riesgos FORMAL?

A) Solo los sistemas de categoría BAJA
B) Solo los sistemas de categoría MEDIA
C) Solo los sistemas de categoría ALTA
D) Todos los sistemas independientemente de su categoría

✅ Respuesta Correcta: C

Explicación:

Según el Anexo I del ENS (RD 311/2022):

Categoría BAJA: Análisis de riesgos simplificado o uso directo del catálogo de medidas
Categoría MEDIA: Análisis de riesgos semiformal
Categoría ALTA: Análisis de riesgos FORMAL (metodología reconocida con fundamento matemático)

MAGERIT con enfoque cuantitativo cumple los requisitos de análisis formal para sistemas ALTA.

Pregunta 12

En MAGERIT, ¿cuál es la fórmula básica para calcular el RIESGO en un análisis cuantitativo?

A) Riesgo = Amenaza × Vulnerabilidad
B) Riesgo = Impacto × Frecuencia
C) Riesgo = Activo × Salvaguarda
D) Riesgo = Confidencialidad + Integridad + Disponibilidad

✅ Respuesta Correcta: B

Explicación:

La fórmula fundamental en MAGERIT es: RIESGO = IMPACTO × FRECUENCIA

Donde:

IMPACTO = Valor del Activo × Degradación causada por la Amenaza
FRECUENCIA = Probabilidad anual de ocurrencia de la amenaza

En análisis cuantitativo: Riesgo = Impacto (€) × Frecuencia (eventos/año) = Pérdida Esperada Anualizada (ALE)

Pregunta 13

¿Qué libro de MAGERIT contiene el catálogo de tipos de activos, amenazas y salvaguardas estándar?

A) Libro I – Método
B) Libro II – Catálogo de Elementos
C) Libro III – Guía de Técnicas
D) Libro IV – Normativa Aplicable

✅ Respuesta Correcta: B

Explicación:

MAGERIT v3 consta de tres libros (no hay Libro IV):

Libro I – Método: Describe la metodología, conceptos, procesos y actividades
Libro II – Catálogo de Elementos: Proporciona catálogos de activos, amenazas y salvaguardas predefinidos
Libro III – Guía de Técnicas: Detalla técnicas específicas (árboles de ataque, análisis coste-beneficio, etc.)

Pregunta 14

En el catálogo de amenazas MAGERIT, ¿a qué código pertenece la amenaza «Fuego»?

A) [N.1] (Desastres Naturales)
B) [I.1] (Desastres de Origen Industrial)
C) [E.1] (Errores y Fallos No Intencionados)
D) [A.1] (Ataques Intencionados)

✅ Respuesta Correcta: B

Explicación:

Las amenazas en MAGERIT se clasifican en 5 familias:

[N] Desastres Naturales: Inundación, terremoto, relámpagos…
[I] De Origen Industrial: [I.1] Fuego, contaminación, avería eléctrica…
[E] Errores y Fallos No Intencionados: Errores de usuario, administrador…
[A] Ataques Intencionados: Acceso no autorizado, malware, denegación de servicio…

El fuego se clasifica como [I.1] porque generalmente se origina por causas industriales (cortocircuitos, sobrecalentamiento de equipos, accidentes en instalaciones).

Pregunta 15

¿Cuál de los siguientes NO es un tipo de activo definido en el catálogo MAGERIT?

A) [D] Datos/Información
B) [SW] Software/Aplicaciones
C) [P] Personal
D) [R] Riesgos

✅ Respuesta Correcta: D

Explicación:

Los tipos de activos en MAGERIT son:

[D] Datos/Información
[K] Claves criptográficas
[S] Servicios
[SW] Software/Aplicaciones
[HW] Hardware/Equipos informáticos
[COM] Redes de comunicaciones
[media] Soportes de información
[AUX] Equipamiento auxiliar
[L] Instalaciones (Locations)
[P] Personal

[R] Riesgos NO es un tipo de activo. Los riesgos son el RESULTADO del análisis, no un activo en sí.

Pregunta 16

¿Qué opción de tratamiento del riesgo consiste en aplicar controles para disminuir la probabilidad o el impacto?

A) Transferir el riesgo
B) Evitar el riesgo
C) Reducir el riesgo
D) Aceptar el riesgo

✅ Respuesta Correcta: C

Explicación:

Las 4 opciones de tratamiento del riesgo son:

REDUCIR: Implantar salvaguardas que disminuyan probabilidad o impacto (la opción más común)
TRANSFERIR: Trasladar el riesgo a terceros (seguros, externalización, cláusulas contractuales)
EVITAR: Eliminar la actividad que genera el riesgo
ACEPTAR: Asumir el riesgo residual cuando su reducción es más costosa que el daño potencial

Pregunta 17

En un análisis cuantitativo de riesgos, ¿qué representa el ALE (Annualized Loss Expectancy)?

A) El coste de las salvaguardas a implantar
B) La pérdida esperada por un único incidente
C) La pérdida económica esperada en un año debido a una amenaza
D) El presupuesto anual de seguridad de la organización

✅ Respuesta Correcta: C

Explicación:

ALE (Annualized Loss Expectancy) = Pérdida Esperada Anualizada

Fórmula: ALE = SLE × ARO

SLE (Single Loss Expectancy): Pérdida esperada por UN incidente
ARO (Annual Rate of Occurrence): Frecuencia anual (ej: 0,2 = 1 vez cada 5 años)

Ejemplo: Si un incidente cuesta 100.000€ (SLE) y ocurre 0,5 veces/año (ARO), entonces ALE = 100.000€ × 0,5 = 50.000€/año

Pregunta 18

¿Cuál de las siguientes afirmaciones sobre el Plan de Seguridad según el ENS es INCORRECTA?

A) Debe incluir un análisis de riesgos del sistema
B) Debe actualizarse cuando se produzcan cambios relevantes en el sistema
C) Es opcional para sistemas de categoría BAJA
D) Debe incluir una Declaración de Aplicabilidad de las medidas del Anexo II

✅ Respuesta Correcta: C

Explicación:

El Plan de Seguridad es OBLIGATORIO para TODOS los sistemas, independientemente de su categoría (BAJA, MEDIA o ALTA). El artículo 11 del ENS establece que «se elaborará una planificación de la seguridad» sin excepciones por categoría.

Lo que varía según la categoría es el nivel de profundidad y formalidad del análisis de riesgos:

BAJA: Análisis simplificado
MEDIA: Análisis semiformal
ALTA: Análisis formal

Pregunta 19

En el contexto del SAS, ¿qué sistema requeriría con mayor probabilidad una categoría ENS ALTA?

A) Sistema de gestión de citas de consultas no urgentes
B) Intranet corporativa con noticias internas
C) Sistema de Historia Clínica Digital (Diraya)
D) Sistema de reservas de salas de reuniones

✅ Respuesta Correcta: C

Explicación:

Diraya requiere categoría ALTA porque:

Confidencialidad ALTA: Contiene datos de salud (categoría especial RGPD art. 9)
Integridad ALTA: Errores en datos clínicos pueden causar daños graves a pacientes
Disponibilidad ALTA: Su caída paraliza la atención sanitaria en toda Andalucía

Según el Anexo I del ENS, si al menos UNA dimensión es ALTA, el sistema completo se categoriza como ALTA.

Pregunta 20

¿Qué organismo español es responsable del desarrollo y mantenimiento de MAGERIT?

A) Instituto Nacional de Ciberseguridad (INCIBE)
B) Agencia Española de Protección de Datos (AEPD)
C) Centro Criptológico Nacional (CCN)
D) Consejo Superior de Informática (CSI)

✅ Respuesta Correcta: C

Explicación:

MAGERIT es desarrollada y mantenida por el Centro Criptológico Nacional (CCN), que depende del Centro Nacional de Inteligencia (CNI).

El CCN también desarrolla:

La herramienta PILAR
Las guías CCN-STIC de seguridad TIC
El catálogo de productos certificados para el ENS
CCN-CERT (equipo de respuesta a incidentes)

Nota: Aunque el enunciado del tema menciona «Consejo Superior de Informática», actualmente la entidad responsable es el CCN.

Pregunta 21

¿Qué tipo de salvaguarda es un sistema de detección de intrusos (IDS)?

A) Preventiva
B) Detectiva
C) Correctiva
D) Recuperativa

✅ Respuesta Correcta: B

Explicación:

Un IDS (Intrusion Detection System) es una salvaguarda DETECTIVA porque su función es DETECTAR intentos de intrusión, no prevenirlos ni bloquearlos.

Comparación con IPS:

IDS (Intrusion Detection System): Solo DETECTA y alerta → Salvaguarda DETECTIVA
IPS (Intrusion Prevention System): DETECTA y BLOQUEA automáticamente → Salvaguarda PREVENTIVA

Otros ejemplos de salvaguardas detectivas: SIEM, logs de auditoría, cámaras de videovigilancia, alarmas.

Pregunta 22

En MAGERIT, ¿qué dimensión de seguridad se refiere a la capacidad de reconstruir qué ha ocurrido en el sistema?

A) Confidencialidad
B) Integridad
C) Disponibilidad
D) Trazabilidad

✅ Respuesta Correcta: D

Explicación:

La Trazabilidad [T] es la capacidad de reconstruir la secuencia de eventos que han ocurrido en el sistema. Es fundamental para:

Investigación forense tras incidentes
Auditorías de cumplimiento
Detección de accesos no autorizados
No repudio (evitar que alguien niegue haber realizado una acción)

Ejemplo SAS: Los logs de acceso a Diraya permiten saber qué profesional consultó qué historia clínica y cuándo, garantizando trazabilidad.

Pregunta 23

¿Cuál de las siguientes afirmaciones sobre PILAR es CORRECTA?

A) Es una herramienta de pago desarrollada por Microsoft
B) Solo funciona en sistemas operativos Windows
C) Implementa la metodología MAGERIT versión 3
D) Solo permite realizar análisis cualitativos

✅ Respuesta Correcta: C

Explicación:

Características de PILAR:

✅ Gratuita y de código abierto (desarrollada por CCN-CERT)
✅ Multiplataforma (Windows, Linux, MacOS)
✅ Implementa MAGERIT v3
✅ Soporta análisis cualitativo Y cuantitativo

Por tanto, solo la opción C es correcta.

Pregunta 24

¿Qué normativa establece la obligatoriedad de realizar análisis de riesgos en sistemas de información de la Administración Pública?

A) RGPD (Reglamento General de Protección de Datos)
B) ENS (Esquema Nacional de Seguridad)
C) ISO 27001
D) Ley 39/2015 de Procedimiento Administrativo Común

✅ Respuesta Correcta: B

Explicación:

El Real Decreto 311/2022 del Esquema Nacional de Seguridad (ENS) establece en su artículo 10 la obligación de «gestionar los riesgos de seguridad de la información de forma continua y sistemática».

Otras normativas relacionadas:

RGPD art. 32: Exige evaluación de riesgos para datos personales, pero no especifica la metodología
ISO 27001: Estándar internacional (voluntario) que requiere análisis de riesgos
Ley 39/2015: Regula el procedimiento administrativo pero no establece requisitos específicos de análisis de riesgos

Pregunta 25

En el SAS, ¿qué documento aprueba la Política de Seguridad TIC que hace referencia a MAGERIT?

A) Resolución de 8 de abril de 2021 de la Dirección Gerencia del SAS
B) Decreto 534/2021 de Administración Electrónica
C) Ley 2/1998 de Salud de Andalucía
D) Plan Estratégico TIC 2025-2030

✅ Respuesta Correcta: A

Explicación:

La Resolución de 8 de abril de 2021 de la Dirección Gerencia del SAS aprueba la Política de Seguridad de las Tecnologías de la Información y Comunicación del SAS.

Esta Resolución:

Establece el marco de gobierno de la seguridad TIC del SAS
Define roles (Comité de Seguridad, Responsable de Seguridad TIC)
Hace referencia explícita a MAGERIT como metodología de análisis de riesgos
Alinea la seguridad del SAS con el ENS y otras normativas

Pregunta 26

¿Cuál de las siguientes NO es una técnica de estimación de probabilidad de amenazas?

A) Análisis de datos históricos
B) Método Delphi (juicio de expertos)
C) Análisis de vulnerabilidades
D) Análisis de dependencias entre activos

✅ Respuesta Correcta: D

Explicación:

El análisis de dependencias entre activos sirve para determinar cómo se propaga el valor y el riesgo entre activos, pero NO para estimar la probabilidad de que ocurran amenazas.

Técnicas válidas para estimar probabilidad:

Datos históricos de incidentes
Juicio de expertos (Método Delphi)
Análisis de vulnerabilidades (a más vulnerabilidades, mayor probabilidad)
Estadísticas del sector (informes CCN-CERT, ENISA…)

Pregunta 27

¿Qué parámetro se usa en el cálculo ALE para representar el número esperado de veces que ocurre una amenaza al año?

A) SLE (Single Loss Expectancy)
B) ARO (Annual Rate of Occurrence)
C) ALE (Annualized Loss Expectancy)
D) RTO (Recovery Time Objective)

✅ Respuesta Correcta: B

Explicación:

En el cálculo de ALE (Pérdida Esperada Anualizada):

SLE: Pérdida por UN incidente (Single Loss Expectancy)
ARO: Frecuencia anual de ocurrencia (Annual Rate of Occurrence) → Este es el parámetro que representa cuántas veces/año
ALE: Resultado final = SLE × ARO
RTO: Tiempo objetivo de recuperación (de planes de continuidad, no del análisis de riesgos)

Ejemplo: Si una amenaza ocurre 1 vez cada 5 años, ARO = 0,2

Pregunta 28

En el contexto de ransomware en sistemas sanitarios, ¿qué tipo de copias de seguridad son más efectivas para la recuperación?

A) Copias incrementales en el mismo servidor
B) Copias en dispositivos de red conectados permanentemente
C) Copias offline o air-gapped en ubicación separada
D) Copias en la nube sin cifrado

✅ Respuesta Correcta: C

Explicación:

Contra ransomware, las copias más efectivas son las offline o air-gapped (desconectadas físicamente de la red) en ubicación geográfica separada.

Por qué las otras son inseguras:

A) Mismo servidor: El ransomware cifrará también las copias
B) Dispositivos de red conectados: El ransomware puede propagarse por la red y cifrarlas
D) Cloud sin cifrado: Vulnerable si el ransomware accede a las credenciales de la nube

Buena práctica SAS: Regla 3-2-1 → 3 copias, en 2 soportes diferentes, 1 offline

Pregunta 29

¿Cuál de las siguientes medidas del ENS es más relevante para la gestión de riesgos?

A) mp.info.1 – Datos de carácter personal
B) op.pl.2 – Análisis de riesgos
C) mp.eq.1 – Puesto de trabajo despejado
D) op.exp.8 – Registro de actividad

✅ Respuesta Correcta: B

Explicación:

La medida op.pl.2 – Análisis de riesgos del Anexo II del ENS establece específicamente la obligación de realizar y mantener actualizado el análisis de riesgos del sistema.

Contenido de la medida op.pl.2:

Identificación de activos relevantes
Amenazas a las que están expuestos
Salvaguardas existentes y su eficacia
Estimación del impacto (cualitativa o cuantitativa)
Estimación del riesgo y tratamiento del mismo

Las otras medidas son importantes pero no específicas de gestión de riesgos.

Pregunta 30

En MAGERIT, ¿qué representa el «valor acumulado» de un activo?

A) El valor intrínseco del activo sin considerar dependencias
B) El valor propio más el valor heredado de activos superiores que dependen de él
C) El valor propio más el valor heredado de activos inferiores de los que depende
D) El coste económico de reposición del activo

✅ Respuesta Correcta: B

Explicación:

El valor acumulado de un activo es:

Valor Acumulado = Valor Propio + Valor Heredado de activos superiores

Ejemplo:

Un servidor [HW] tiene valor propio BAJO (solo vale su precio de compra)
Pero si aloja Diraya [SW], que tiene valor MUY ALTO
El servidor hereda ese valor → su valor acumulado es MUY ALTO
Porque si el servidor falla, afecta a Diraya (activo superior que depende de él)

Por eso es tan importante proteger incluso activos cuyo valor intrínseco sea bajo si soportan servicios críticos.

8. Mapa Conceptual ASCII

┌──────────────────────────────────────────────────────────────────────────────────────────┐ │ 📊 ANÁLISIS Y GESTIÓN DE RIESGOS – MAGERIT │ └──────────────────────────────────────────────────────────────────────────────────────────┘ │ ┌──────────────────────┼──────────────────────┐ │ │ │ ┌───────▼───────┐ ┌──────▼──────┐ ┌───────▼───────┐ │ 🎯 ACTIVOS │ │ ⚡ AMENAZAS │ │ 🛡️ SALVAGUARDAS│ │ │ │ │ │ │ │ • Información │ │ [N] Natural │ │ • Preventivas │ │ • Servicios │ │ [I] Industr │ │ • Detectivas │ │ • Aplicaciones│ │ [E] Errores │ │ • Correctivas │ │ • Hardware │ │ [A] Ataques │ │ • Recuperativ │ │ • Instalaciones│ │ │ │ │ └───────┬───────┘ └──────┬──────┘ └───────┬───────┘ │ │ │ └─────────────────────┼─────────────────────┘ │ ┌────────▼────────┐ │ ⚠️ RIESGOS │ │ │ │ RIESGO = I × F │ │ │ │ I = Valor × Deg │ │ F = Probabilidad│ └────────┬────────┘ │ ┌────────────────────┼────────────────────┐ │ │ │ ┌───────────▼──────────┐ ┌──────▼──────┐ ┌────────▼──────────┐ │ 💡 TIPOS DE RIESGO │ │🔍 ANÁLISIS │ │ 📋 TRATAMIENTO │ │ │ │ │ │ │ │ • Potencial │ │ CUALITATIVO:│ │ • REDUCIR │ │ • Residual │ │ Escalas │ │ • TRANSFERIR │ │ • Acumulado │ │ MB-B-M-A-MA│ │ • EVITAR │ │ • Repercutido │ │ │ │ • ACEPTAR │ │ │ │ CUANTITATIVO│ │ │ │ │ │ ALE (€/año│ │ │ └──────────────────────┘ └─────────────┘ └───────────────────┘ │ ┌────────────────────┼────────────────────┐ │ │ │ ┌───────────▼──────────┐ ┌──────▼──────┐ ┌────────▼──────────┐ │ 🔧 HERRAMIENTA │ │ 📄 ENS │ │ 🏥 APLICACIÓN SAS │ │ │ │ │ │ │ │ PILAR │ │ • Art. 10: │ │ • Diraya: ALTA │ │ │ │ Gestión │ │ • BDU: ALTA │ │ • Gratuita CCN-CERT │ │ de Riesgos│ │ • Receta XXI: ALTA│ │ • Multiplataforma │ │ │ │ │ │ • Cualitativo/Cuanti │ │ • Art. 11: │ │ Resolución 8/4/21 │ │ • 5 Dimensiones: │ │ Plan de │ │ Política Seguridad│ │ [C][I][D][A][T] │ │ Seguridad │ │ TIC del SAS │ │ • Catálogos MAGERIT │ │ │ │ │ │ • Informes │ │ • RD 311/2022│ │ │ └──────────────────────┘ └─────────────┘ └───────────────────┘ │ ┌────────▼────────┐ │ 📚 MAGERIT v3 │ │ │ │ Libro I: Método │ │ Libro II: Catálog│ │ Libro III: Técnic│ └─────────────────┘ ┌──────────────────────────────────────────────────────────────────────────────────────────┐ │ 🔄 CICLO DE GESTIÓN DE RIESGOS │ │ │ │ 1️⃣ IDENTIFICAR 2️⃣ ANALIZAR 3️⃣ EVALUAR 4️⃣ TRATAR 5️⃣ MONITORIZAR │ │ Activos → Amenazas → Riesgos → Salvaguardas → Revisión Continua │ │ Dependencias Vulnerabilid Priorizar Decidir Actualizar │ │ Valorar Probabilidad Matriz Implantar Auditar │ └──────────────────────────────────────────────────────────────────────────────────────────┘

9. Estrategias de Estudio y Consejos para el Examen

🎯 Estrategia de Memorización: Método PAGER

Para memorizar este tema tan denso, te propongo el método PAGER (Prioritizar, Asociar, Grabar, Explicar, Repasar):

P – PRIORITIZAR

Conceptos de prioridad máxima (MÁS PREGUNTADOS):

Significado del acrónimo PILAR → Aparece LITERALMENTE en exámenes
Diferencias análisis cualitativo vs cuantitativo → Pregunta ESTRELLA
Las 5 dimensiones de seguridad [C][I][D][A][T]
Fórmula RIESGO = IMPACTO × FRECUENCIA
Los 4 tipos de riesgo: potencial, residual, acumulado, repercutido
Opciones de tratamiento: REDUCIR, TRANSFERIR, EVITAR, ACEPTAR
Tipos de salvaguardas según su función
Categoría ENS y tipo de análisis requerido (ALTA = formal)

A – ASOCIAR

Usa mnemotecnias y asociaciones mentales:

PILAR: «Pedro Instaló Linux Analizando Riesgos» → Procedimiento Informático-Lógico para el Análisis de Riesgos
Las 5 dimensiones: «CIDTA» → Confidencialidad, Integridad, Disponibilidad, Trazabilidad, Autenticidad
Las 4 opciones de tratamiento: «RETA» → Reducir, Evitar, Transferir, Aceptar
Tipos de amenazas: «NIEA» → Natural, Industrial, Errores, Ataques
Los 3 libros de MAGERIT: «MCT» → Método, Catálogo, Técnicas

G – GRABAR

Técnicas de grabación profunda:

Flashcards digitales (Anki): Crea tarjetas con preguntas por un lado y respuestas por otro. Ejemplo:
- Anverso: «¿Qué dimensión mide la capacidad de reconstruir eventos?»
- Reverso: «Trazabilidad [T]»
Método Feynman: Intenta explicar MAGERIT a alguien que no sepa nada de informática (tu pareja, un amigo). Si puedes explicarlo en términos sencillos, lo dominas.
Dibujar el proceso: Haz tu propio diagrama del ciclo MAGERIT a mano. El acto de dibujar refuerza la memoria visual.

E – EXPLICAR

Enseña a otros opositores:

Únete a grupos de estudio (presenciales o Telegram/Discord)
Explica en voz alta las diferencias entre análisis cualitativo y cuantitativo
Simula ser el preparador y pon preguntas a tus compañeros
Grábate explicando el tema (audio en el móvil) y escúchalo en el coche o haciendo deporte

R – REPASAR

Sistema de repaso espaciado (basado en la curva del olvido de Ebbinghaus):

Repaso	Cuándo	Qué hacer
1º repaso	24 horas después	Leer resumen + hacer 10 preguntas test
2º repaso	1 semana después	Rehacer cuestionario completo (30 preguntas) + explicar en voz alta
3º repaso	1 mes después	Hacer esquema de memoria + preguntas difíciles
4º repaso	1 semana antes del examen	Repasar solo conceptos marcados como «difíciles» + supuesto práctico

⚠️ Errores Comunes que Debes EVITAR en el Examen

Confundir «Disponibilidad» con «Rendimiento»: Disponibilidad = sistema accesible cuando se necesita (uptime). Rendimiento = velocidad de respuesta.
Pensar que PILAR solo hace análisis cualitativo: FALSO. PILAR soporta AMBOS (cualitativo Y cuantitativo).
Creer que el análisis de riesgos es opcional para categoría BAJA: FALSO. Es obligatorio para TODAS las categorías, aunque con diferente profundidad.
No saber que «Continuidad» no es una dimensión MAGERIT: Las dimensiones son [C][I][D][A][T]. Continuidad es un concepto del plan de continuidad, no una dimensión de valoración.
Mezclar el orden de dependencias: La información depende de aplicaciones, las aplicaciones de equipos, los equipos de instalaciones. NO al revés.
Confundir IDS con IPS: IDS solo DETECTA (detectiva). IPS DETECTA + BLOQUEA (preventiva).
No identificar correctamente [I.1] Fuego: Es de origen INDUSTRIAL, no natural.

✅ Trucos para Ganar Puntos Fáciles

Aprende de memoria el acrónimo PILAR: «Procedimiento Informático-Lógico para el Análisis de Riesgos». Esta pregunta ha caído literalmente 3 veces en los últimos exámenes.
Domina la fórmula ALE = SLE × ARO: Pregunta típica de cálculo en supuestos prácticos.
Memoriza qué medida ENS trata el análisis de riesgos: op.pl.2
Conoce el RD del ENS actualizado: Real Decreto 311/2022 (no confundir con el antiguo RD 3/2010)
Ten claro qué organismo desarrolla MAGERIT: CCN (Centro Criptológico Nacional), no INCIBE ni AEPD

📅 Plan de Estudio Intensivo (1 Semana)

Si tienes poco tiempo y necesitas dominar este tema en una semana:

Día 1 (3h): Leer tema completo + subrayar conceptos clave + hacer mapa conceptual propio
Día 2 (2h): Memorizar acrónimos y fórmulas (PILAR, RIESGO=I×F, ALE=SLE×ARO) + tarjetas Anki
Día 3 (2h): Hacer preguntas 1-15 del cuestionario + revisar explicaciones de las falladas
Día 4 (2h): Hacer preguntas 16-30 del cuestionario + revisar explicaciones
Día 5 (2h): Leer casos prácticos SAS + imaginar supuestos propios (ej: categorizar un sistema nuevo)
Día 6 (1,5h): Repasar solo conceptos difíciles + hacer test de preguntas que fallaste antes
Día 7 (1h): Repaso final rápido del resumen + mapa conceptual + dormir bien antes del examen

10. Referencias Normativas y Bibliográficas

📜 Normativa Española de Seguridad

Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (BOE núm. 105, de 4/05/2022)
Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (arts. sobre administración electrónica y seguridad)
Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas
Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información (transposición Directiva NIS)
Ley 8/2011, de 28 de abril, de Infraestructuras Críticas

🔒 Normativa de Protección de Datos

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD)
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (derogado pero aún referenciado en documentación)

🏥 Normativa Sanitaria Andaluza

Ley 2/1998, de 15 de junio, de Salud de Andalucía
Decreto 137/2002, de 30 de abril, de apoyo a las familias andaluzas (Capítulo IV sobre Historia de Salud)
Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica
Resolución de 8 de abril de 2021, de la Dirección Gerencia del Servicio Andaluz de Salud, por la que se aprueba la Política de Seguridad de las Tecnologías de la Información y Comunicación del Servicio Andaluz de Salud

📚 Metodología MAGERIT y Herramientas CCN

MAGERIT v3.0 – Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. CCN-CERT, 2012 (actualizado 2014)
MAGERIT v3 – Libro I: Método
MAGERIT v3 – Libro II: Catálogo de Elementos
MAGERIT v3 – Libro III: Guía de Técnicas
PILAR – Herramienta de Análisis de Riesgos. Manual de Usuario. CCN-CERT
Guía CCN-STIC-803 – Valoración de Sistemas en el ENS
Guía CCN-STIC-804 – Guía de Implantación del ENS
Guía CCN-STIC-805 – Política de Seguridad de la Información
Guía CCN-STIC-806 – Plan de Adecuación del ENS
Guía CCN-STIC-808 – Verificación del cumplimiento de las medidas del ENS

🌐 Estándares Internacionales

ISO/IEC 27001:2022 – Sistemas de Gestión de Seguridad de la Información (SGSI)
ISO/IEC 27005:2022 – Gestión de Riesgos de Seguridad de la Información
ISO 31000:2018 – Gestión de Riesgos (marco general, no específico de TI)
NIST SP 800-30 Rev. 1 – Guide for Conducting Risk Assessments
NIST Cybersecurity Framework (CSF) v1.1
COBIT 2019 – Framework for Governance and Management of Enterprise IT (ISACA)

📖 Bibliografía Recomendada

Gómez Vieites, Álvaro (2021). Enciclopedia de la Seguridad Informática (3ª ed.). RA-MA Editorial.
Piattini, Mario y Del Peso, Emilio (2008). Auditoría de Tecnologías y Sistemas de Información. RA-MA Editorial.
Fernández-Sanguino, Javier (2007). Seguridad y Alta Disponibilidad. Anaya Multimedia.
Huerta, Antonio (coord.) (2018). Seguridad en Sistemas de Información y de Comunicación. Síntesis.

🔗 Recursos Online

Portal CCN-CERT: https://www.ccn-cert.cni.es
Descarga PILAR: https://www.ccn-cert.cni.es/herramientas-de-ciberseguridad/pilar.html
INCIBE (Instituto Nacional de Ciberseguridad): https://www.incibe.es
ENISA (Agencia Europea de Ciberseguridad): https://www.enisa.europa.eu
Portal ENS: https://ens.ccn.cni.es

🎓 ¡Mucho ánimo, opositor/a!

Has llegado al final del Tema 37. Si has leído hasta aquí y has hecho el cuestionario completo, estás en el TOP 10% de preparación en este tema. Recuerda:

✅ MAGERIT y el ENS son temas que SIEMPRE caen
✅ PILAR es tu herramienta aliada (aprende su acrónimo de memoria)
✅ En el SAS, TODOS los sistemas críticos requieren análisis de riesgos formal
✅ Practica con supuestos: categoriza sistemas, identifica amenazas, propón salvaguardas
✅ Repasa espaciado: 24h, 1 semana, 1 mes, 1 semana antes del examen

¡Tu plaza te está esperando! 💪

Preparado con rigor por Esteban Castro | Especialista en Oposiciones de Informática del SAS

📧 Dudas o consultas: Usa el foro de opositores o el grupo de Telegram