📋 INTRODUCCIÓN Y CONTEXTUALIZACIÓN

🎯 Relevancia para el Técnico/a TFA-STI SAS

Como futuro Técnico de Función Administrativa en Sistemas y Tecnología de la Información del SAS, vas a estar en primera línea de la gestión de la seguridad de nuestros sistemas. No serás un simple técnico que «arregla ordenadores»… para nada. Vas a participar activamente en:

• Análisis de riesgos de nuevos proyectos TIC: Cuando el SAS quiera implantar un nuevo sistema de telemedicina, o migrar Diraya a la nube, o implementar una solución de IA para diagnóstico por imagen… tú estarás ahí analizando qué puede salir mal y cómo protegernos.
• Cumplimiento del ENS: Todos los sistemas del SAS categorizados como MEDIO o ALTO según el ENS requieren un análisis de riesgos formal siguiendo MAGERIT. Y créeme, en sanidad casi todo es MEDIO o ALTO.
• Gestión de incidentes de seguridad: Cuando llega un ransomware, cuando detectas un acceso indebido a historias clínicas, cuando hay una brecha de datos… MAGERIT te da el marco para entender el impacto real y tomar decisiones.
• Auditorías y certificaciones: ISO 27001, auditorías del CCN-CERT, inspecciones de la AEPD… todos te van a pedir evidencias de análisis de riesgos formal.

📚 Importancia en la Oposición

Este tema tiene un peso específico brutal en el temario. Fíjate en los números:

• Preguntas directas: En la última convocatoria cayeron 2 preguntas explícitas sobre MAGERIT (preguntas 30 y 37 del examen que hemos analizado).
• Preguntas indirectas: Otras 4-5 preguntas sobre ENS, ISO 27001, gestión de seguridad… todas relacionadas con conceptos de análisis de riesgos.
• Casos prácticos: Los casos prácticos de seguridad siempre incluyen elementos de valoración de riesgos, decisiones sobre salvaguardas, análisis de impacto…

🔗 Conexión con Otros Temas del Temario

MAGERIT no es un tema aislado. Se relaciona directamente con:

• Tema 76 – Seguridad de las TI: Los conceptos de confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad son la base de MAGERIT.
• Tema 77 – Esquema Nacional de Seguridad (ENS): El ENS obliga a hacer análisis de riesgos según MAGERIT para sistemas categorizados como MEDIO o ALTO.
• Tema 79 – ISO/IEC 27001: La norma ISO 27001 exige análisis de riesgos, y MAGERIT es una metodología perfectamente válida para cumplir ese requisito.
• Tema 84 – RGPD y LOPDGDD: El análisis de riesgos es obligatorio para la protección de datos personales, especialmente datos de salud (categoría especial).
• Tema 37 – Gestión de Proyectos TIC: Todo proyecto TIC debe incluir análisis de riesgos en su fase de planificación.

📖 Esquema del Tema

Vamos a estructurar este tema de la siguiente manera:

1. Fundamentos del Análisis y Gestión de Riesgos: Conceptos básicos, por qué es necesario, marco normativo.
2. MAGERIT: La Metodología Oficial: Historia, evolución, versiones, estructura de los libros MAGERIT.
3. Elementos del Análisis de Riesgos: Activos, amenazas, vulnerabilidades, salvaguardas, impacto, riesgo.
4. El Proceso MAGERIT: Las 5 tareas principales del análisis de riesgos.
5. Técnicas de Análisis: Cualitativo vs Cuantitativo: Cuándo usar cada uno, ventajas, inconvenientes.
6. El Plan de Seguridad: Qué es, cómo se elabora, contenidos mínimos según ENS.
7. La Herramienta PILAR: Software oficial para aplicar MAGERIT, funcionalidades, uso práctico.
8. Aplicación de MAGERIT en el SAS: Casos reales, obligaciones según ENS, integración con Política de Seguridad TI del SSPA.

1. FUNDAMENTOS DEL ANÁLISIS Y GESTIÓN DE RIESGOS

1.1. ¿Qué es el Riesgo en Seguridad de la Información?

Antes de meternos en MAGERIT, tenemos que tener clarísimo qué es un riesgo. Y no, no es lo mismo que una amenaza ni que una vulnerabilidad. Vamos a desgranar los conceptos básicos:

1.2. ¿Por Qué Necesitamos Gestionar los Riesgos?

La pregunta del millón. ¿Por qué no podemos simplemente «poner mucha seguridad» y ya está? Pues porque:

1. Recursos limitados: El SAS no tiene un presupuesto infinito. Hay que priorizar dónde invertimos en seguridad. ¿Gastamos en un firewall de última generación o en formar a los usuarios? ¿Ciframos todo o solo lo crítico? El análisis de riesgos te permite tomar decisiones informadas basadas en datos, no en intuiciones.
2. Cumplimiento normativo: El ENS, el RGPD, la ISO 27001… todas exigen análisis de riesgos formal y documentado. No es opcional. Si mañana te audita el CCN-CERT o la AEPD y no tienes un análisis de riesgos actualizado de Diraya, te van a poner una sanción que te vas a acordar.
3. Justificación de inversiones: Cuando quieres pedir presupuesto para comprar un SIEM (Security Information and Event Management) o contratar un servicio de respuesta a incidentes… ¿cómo justificas esa inversión? Con un análisis de riesgos que demuestre que el riesgo residual sin esas medidas es inaceptable.
4. Toma de decisiones estratégicas: ¿Migramos Diraya a la nube o lo mantenemos on-premise? ¿Permitimos BYOD (Bring Your Own Device) al personal sanitario? ¿Implementamos doble factor de autenticación en todos los sistemas? Cada una de esas decisiones tiene implicaciones de seguridad que hay que analizar.
5. Prevención vs reacción: Es mucho más barato prevenir un incidente que gestionarlo cuando ya ha ocurrido. Un ransomware que cifre las historias clínicas de un hospital puede costar millones de euros en recuperación, pérdida de reputación, multas RGPD… Un análisis de riesgos previo habría identificado esa amenaza y permitido implementar salvaguardas (backups offsite, segmentación de red, formación antiphishing) por una fracción del coste.

1.3. Marco Normativo del Análisis de Riesgos en España

El análisis de riesgos no es una recomendación… es una obligación legal en múltiples normas. Vamos a verlas:

2. MAGERIT: LA METODOLOGÍA OFICIAL DE ANÁLISIS Y GESTIÓN DE RIESGOS

2.1. ¿Qué es MAGERIT?

MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) es la metodología oficial del Consejo Superior de Informática para analizar y gestionar los riesgos de los sistemas de información de las Administraciones Públicas españolas.

Fue desarrollada inicialmente en 1997 por el Consejo Superior de Informática (actual Dirección de Tecnologías de la Información y las Comunicaciones del Ministerio de Asuntos Económicos y Transformación Digital), y desde entonces ha tenido varias versiones.

2.2. Historia y Evolución de MAGERIT

2.3. Estructura de la Documentación MAGERIT v3

La metodología MAGERIT v3 se compone de tres libros principales:

📕 Libro I – Método

Describe la metodología propiamente dicha. Es el «cómo se hace» el análisis de riesgos. Incluye:

• Conceptos básicos y terminología
• Las 5 tareas del proceso de análisis de riesgos
• Técnicas de identificación de activos, valoración, análisis de amenazas
• Cálculo de impacto y riesgo
• Tratamiento del riesgo y selección de salvaguardas
• Elaboración del Plan de Seguridad

📗 Libro II – Catálogo de Elementos

Proporciona catálogos de referencia para aplicar el método:

• Catálogo de Activos: Tipos de activos comunes en sistemas de información (datos, servicios, aplicaciones, equipos, redes, soportes, personal, instalaciones…)
• Catálogo de Amenazas: Listado exhaustivo de amenazas posibles, clasificadas por tipo (naturales, industriales, errores y fallos, ataques intencionados). Cada amenaza tiene código (ej: [A.24] Ataque destructivo, [N.1] Fuego, [I.5] Avería de origen físico o lógico)
• Catálogo de Salvaguardas: Medidas de seguridad organizadas por familias, alineadas con ISO 27002 y ENS

📘 Libro III – Técnicas

Guías prácticas para realizar tareas específicas:

• Técnicas de identificación de activos
• Técnicas de valoración (cualitativa vs cuantitativa)
• Análisis de dependencias entre activos
• Tablas de valoración y matrices de riesgo
• Cálculo del Riesgo Residual
• Elaboración de informes

2.4. Objetivos de MAGERIT

¿Qué pretende conseguir MAGERIT? Sus objetivos declarados son:

1. Concienciar sobre la existencia de riesgos: Hacer visible que los sistemas de información están expuestos a amenazas que pueden comprometer el funcionamiento de la organización.
2. Ofrecer un método sistemático: Proporcionar un procedimiento estructurado, replicable y auditable para analizar riesgos.
3. Ayudar a descubrir y planificar las medidas oportunas: No basta con identificar riesgos, hay que gestionarlos. MAGERIT guía en la selección de salvaguardas proporcionales al riesgo.
4. Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación: Facilita el cumplimiento del ENS, ISO 27001, RGPD…

2.5. Principios de MAGERIT

MAGERIT se basa en unos principios fundamentales que conviene tener claros:

3. ELEMENTOS DEL ANÁLISIS DE RIESGOS SEGÚN MAGERIT

3.1. Activos

Los activos son el núcleo del análisis de riesgos. Todo gira alrededor de ellos. MAGERIT define diferentes tipos de activos:

Valoración de Activos

Una vez identificados los activos, hay que valorarlos. ¿Cuánto «valen» para la organización? No hablamos de su precio de compra, sino de su valor estratégico.

MAGERIT propone valorar cada activo en 5 dimensiones de seguridad:

• [C] Confidencialidad: ¿Qué impacto tendría que personas no autorizadas accedieran a este activo? En historias clínicas: CRÍTICO (violación RGPD, daño reputacional, multas millonarias, daño al paciente).
• [I] Integridad: ¿Qué impacto tendría que el activo se modificase sin autorización o de forma incorrecta? En datos de prescripción médica: CRÍTICO (riesgo vital para el paciente, responsabilidad penal).
• [D] Disponibilidad: ¿Qué impacto tendría que el activo no estuviera accesible cuando se necesita? En servicio de urgencias de Diraya: CRÍTICO (imposibilidad de atender emergencias, riesgo vital).
• [A] Autenticidad: ¿Qué impacto tendría que no pudiéramos verificar quién realizó una acción sobre el activo? En recetas electrónicas: ALTO (posible fraude, prescripción no autorizada, problemas legales).
• [T] Trazabilidad: ¿Qué impacto tendría que no pudiéramos demostrar qué acciones se realizaron sobre el activo? En accesos a historias clínicas: ALTO (imposibilidad de auditar accesos indebidos, problemas en juicios, incumplimiento RGPD).

3.2. Amenazas

Una amenaza es un evento que, si se materializa, puede causar daño a los activos. MAGERIT clasifica las amenazas en varios tipos:

Clasificación de Amenazas según MAGERIT v3

3.3. Vulnerabilidades

Las vulnerabilidades son las debilidades que permiten que las amenazas se materialicen. Importante: una amenaza sin vulnerabilidad asociada NO puede materializarse.

Ejemplo: La amenaza [N.1] Fuego existe siempre. Pero si el CPD tiene un sistema de detección y extinción automática de incendios (salvaguarda), la vulnerabilidad es baja y la probabilidad de que el fuego cause daños significativos es mínima.

MAGERIT no tiene un catálogo cerrado de vulnerabilidades (serían miles), pero proporciona técnicas para identificarlas. Las más comunes en el SAS:

• Vulnerabilidades técnicas: Software sin parchear, configuraciones inseguras, cifrado débil o inexistente, ausencia de segmentación de red, contraseñas débiles, puertos innecesarios abiertos, servicios obsoletos no desactivados
• Vulnerabilidades organizativas: Falta de políticas de seguridad, ausencia de procedimientos documentados, roles y responsabilidades no definidos, falta de formación del personal, ausencia de controles de acceso, no segregación de funciones
• Vulnerabilidades físicas: Acceso no controlado al CPD, ausencia de sistemas contra incendios, climatización insuficiente, ausencia de SAIs o generadores, ubicación en zona inundable

3.4. Salvaguardas

Las salvaguardas (o contramedidas) son los controles de seguridad que implementamos para reducir el riesgo. Actúan de tres formas:

1. Reduciendo la probabilidad de que la amenaza se materialice: Ej: Un firewall reduce la probabilidad de intrusión externa.
2. Reduciendo el impacto si la amenaza se materializa: Ej: Un backup diario no evita que un ransomware cifre los datos, pero reduce el impacto porque podemos recuperar.
3. Detectando cuando la amenaza se está materializando: Ej: Un IDS no evita ni reduce el impacto de un ataque, pero nos alerta para que podamos reaccionar rápido.

MAGERIT clasifica las salvaguardas en familias, alineadas con ISO 27002 y con el Anexo II del ENS:

4. EL PROCESO DE ANÁLISIS DE RIESGOS SEGÚN MAGERIT

MAGERIT estructura el análisis de riesgos en 5 tareas principales. Esto es fundamental para el examen, te lo van a preguntar seguro:

4.1. Tarea 1: Identificación de Activos

El primer paso es hacer un inventario completo de todos los activos del sistema de información que vamos a analizar. No puedes proteger lo que no conoces.

¿Cómo se hace?

• Entrevistas con responsables de negocio y técnicos
• Revisión de documentación existente (diagramas de arquitectura, inventarios CMDB)
• Análisis de flujos de información (¿qué datos se procesan?, ¿de dónde vienen?, ¿a dónde van?)
• Identificación de dependencias entre activos (Diraya depende de la base de datos Oracle, que depende del servidor físico, que depende de la red, que depende del router…)

4.2. Tarea 2: Valoración de Activos

Una vez identificados los activos, hay que valorarlos. ¿Cuánto valen para la organización en cada una de las 5 dimensiones de seguridad?

Aquí se puede optar por dos enfoques:

Enfoque Cuantitativo

Asignamos un valor económico estimado al activo. ¿Cuánto nos costaría si se pierde, se daña, o se ve comprometido?

Enfoque Cualitativo

Usamos una escala ordinal (por ejemplo, 0 a 10, o Muy Bajo / Bajo / Medio / Alto / Muy Alto / Crítico) para valorar el impacto.

4.3. Tarea 3: Identificación y Valoración de Amenazas

Para cada activo, identificamos qué amenazas le pueden afectar y con qué probabilidad.

Técnicas:

• Uso del catálogo de amenazas de MAGERIT como referencia
• Análisis histórico de incidentes pasados
• Consulta de fuentes de inteligencia de amenazas (CCN-CERT, INCIBE, ENISA)
• Evaluación de la exposición del activo (¿está expuesto a Internet? ¿tiene muchos usuarios? ¿contiene datos muy valiosos?)

Valoración de la probabilidad:

4.4. Tarea 4: Cálculo del Impacto y del Riesgo

Aquí es donde unimos todo. Para cada par (Activo, Amenaza), calculamos:

1. IMPACTO POTENCIAL: Si la amenaza se materializa, ¿qué daño causa al activo en cada dimensión de seguridad?
2. RIESGO INTRÍNSECO (o Riesgo sin salvaguardas): Combinamos la probabilidad de la amenaza con el impacto potencial.

Matriz de Riesgo (enfoque cualitativo):

Se suele representar en una matriz de doble entrada:

Interpretación:

• Muy Bajo → Riesgo aceptable. No requiere acción inmediata.
• Bajo → Riesgo tolerable. Monitorizar.
• Medio → Riesgo importante. Requiere plan de tratamiento.
• Alto → Riesgo grave. Requiere acción prioritaria.
• Crítico → Riesgo inaceptable. Requiere acción INMEDIATA.

4.5. Tarea 5: Tratamiento del Riesgo y Selección de Salvaguardas

Una vez calculado el riesgo, hay que gestionarlo. MAGERIT (siguiendo ISO 31000) propone 4 estrategias de tratamiento del riesgo:

1️⃣ REDUCIR el Riesgo (MITIGAR)

Implementar salvaguardas para disminuir la probabilidad de que la amenaza se materialice, o para reducir el impacto si ocurre.

Ejemplo en el SAS: Ante el riesgo de ransomware (probabilidad ALTA, impacto CRÍTICO), se implementan salvaguardas:

• Formación antiphishing (reduce probabilidad)
• Filtros de correo con sandboxing (reduce probabilidad)
• EDR en endpoints (reduce probabilidad + detecta temprano)
• Segmentación de red (reduce impacto, contención)
• Backups offsite con versionado (reduce impacto, permite recuperación)

Tras implementar estas salvaguardas, el riesgo residual baja de CRÍTICO a MEDIO.

2️⃣ TRANSFERIR el Riesgo

Trasladar el riesgo (o parte de él) a un tercero. Típicamente mediante seguros o contratos con proveedores.

Ejemplo en el SAS:

• Contratar un seguro de ciberriesgos que cubra costes de recuperación post-ransomware
• Contratar un servicio cloud con SLA que garantice disponibilidad del 99,95% (el proveedor asume el riesgo de caídas)
• Externalizar el servicio de backup a un proveedor especializado con cláusulas de responsabilidad

3️⃣ EVITAR el Riesgo

Eliminar completamente la causa del riesgo, típicamente no realizando la actividad que genera el riesgo.

Ejemplo en el SAS:

• Decisión de NO permitir acceso remoto sin VPN a sistemas críticos (se evita el riesgo de accesos no seguros desde Internet)
• Decisión de NO implementar BYOD para personal sanitario (se evitan riesgos de fuga de datos en dispositivos no controlados)
• Decisión de NO publicar ciertos datos estadísticos porque podrían permitir reidentificación de pacientes

4️⃣ ACEPTAR el Riesgo

Tomar la decisión consciente de asumir el riesgo sin tratamiento adicional, generalmente porque:

• El riesgo residual es Muy Bajo o Bajo
• El coste de mitigarlo es desproporcionado respecto al riesgo
• No existen salvaguardas técnicamente viables

Ejemplo en el SAS:

• Aceptar el riesgo de terremoto en el CPD de Sevilla (probabilidad muy baja, impacto alto, pero salvaguardas como edificio antisísmico son inasumibles económicamente). Se mitiga parcialmente con CPD de respaldo en Granada.

Riesgo Residual

Tras aplicar las salvaguardas (estrategia de REDUCIR), siempre queda un riesgo residual. Es imposible llevar el riesgo a cero (a menos que evites la actividad completamente).

El objetivo del análisis de riesgos es que el riesgo residual sea ACEPTABLE para la organización, según los criterios de aceptación del riesgo definidos en la Política de Seguridad.

5. TÉCNICAS DE ANÁLISIS: CUALITATIVO VS CUANTITATIVO

MAGERIT soporta dos enfoques para realizar el análisis de riesgos: el enfoque cualitativo y el enfoque cuantitativo. Vamos a compararlos:

5.1. Análisis Cualitativo

Definición: Utiliza escalas ordinales (categorías) para valorar probabilidades e impactos.

Características:

• Usa etiquetas: Muy Bajo / Bajo / Medio / Alto / Muy Alto / Crítico
• O escalas numéricas ordinales: 0-10, 1-5…
• Basado en juicio experto y experiencia
• Más rápido y menos costoso
• No requiere datos históricos precisos
• Resultados más fáciles de comunicar a no técnicos

Ventajas:

• ✅ Rapidez de ejecución (semanas vs meses)
• ✅ No requiere estimaciones económicas complejas
• ✅ Fácil de entender por la Dirección y responsables no técnicos
• ✅ Suficiente para cumplir requisitos ENS y RGPD
• ✅ Permite priorizar riesgos claramente

Inconvenientes:

• ❌ Subjetividad en las valoraciones
• ❌ Dificulta el cálculo preciso del ROI de las salvaguardas
• ❌ No permite comparar riesgos de forma cuantitativa

¿Cuándo usarlo?

• Análisis iniciales o de alto nivel
• Organizaciones sin datos históricos de incidentes
• Cuando el tiempo es limitado
• Para sistemas no críticos o de impacto medio
• En la mayoría de casos en el sector público (incluido el SAS)

5.2. Análisis Cuantitativo

Definición: Asigna valores numéricos (típicamente económicos) a probabilidades e impactos.

Características:

• Usa valores monetarios: 10.000€, 500.000€…
• Probabilidades expresadas en porcentaje o frecuencia anual
• Basado en datos históricos, estadísticas, modelos actuariales
• Permite cálculos precisos de expectativa de pérdida
• Requiere más tiempo y recursos

Conceptos clave del análisis cuantitativo:

Ventajas:

• ✅ Precisión en la valoración de riesgos
• ✅ Permite justificar inversiones con ROI claro
• ✅ Facilita la comparación objetiva entre riesgos
• ✅ Útil para reporting a Dirección (lenguaje económico)
• ✅ Facilita la toma de decisiones sobre priorización de salvaguardas

Inconvenientes:

• ❌ Requiere datos históricos fiables (que a menudo no existen)
• ❌ Proceso lento y costoso
• ❌ Difícil valorar económicamente ciertos impactos (reputación, confianza…)
• ❌ Falsa sensación de precisión (los datos base suelen ser estimaciones)
• ❌ Requiere personal especializado

¿Cuándo usarlo?

• Sistemas de muy alto valor o muy críticos
• Cuando se necesita justificar grandes inversiones
• Organizaciones con buenos datos históricos de incidentes
• Sector financiero, seguros, grandes corporaciones
• Cuando se requiere certificación específica que lo exija

5.3. Comparativa Cualitativo vs Cuantitativo

5.4. Enfoque Mixto (Recomendación de MAGERIT)

MAGERIT recomienda en la práctica un enfoque híbrido:

1. Primera iteración: Análisis cualitativo de alto nivel de todos los activos. Identificar los activos y riesgos más críticos.
2. Segunda iteración: Para los activos críticos identificados, realizar un análisis más profundo (posiblemente cuantitativo si se dispone de datos).
3. Monitorización continua: Revisar y actualizar el análisis periódicamente, refinando las valoraciones con datos reales de incidentes.

Este enfoque combina lo mejor de ambos mundos: rapidez inicial del cualitativo + precisión del cuantitativo donde realmente importa.

6. EL PLAN DE SEGURIDAD

6.1. ¿Qué es el Plan de Seguridad?

El Plan de Seguridad es el documento resultante del análisis de riesgos. Recoge:

• Los riesgos identificados
• Las decisiones de tratamiento de cada riesgo
• Las salvaguardas a implementar
• El calendario de implantación
• Los responsables de cada acción
• Los recursos necesarios (presupuesto, personal)
• El riesgo residual aceptado

El ENS (RD 311/2022, Anexo II) establece que todos los sistemas categorizados como MEDIO o ALTO deben tener un Plan de Seguridad formal, aprobado por el Responsable de Seguridad de la Información (RSI) y por el responsable del sistema.

6.2. Contenido Mínimo del Plan de Seguridad según el ENS

El Anexo II del ENS especifica qué debe contener como mínimo un Plan de Seguridad:

1. Descripción del sistema:
   • Identificación del sistema de información
   • Responsable del sistema
   • Descripción funcional (qué hace el sistema)
   • Entorno operacional (dónde opera, usuarios, ubicación…)
   • Categorización del sistema (BÁSICO/MEDIO/ALTO)
2. Análisis de riesgos:
   • Metodología utilizada (habitualmente MAGERIT)
   • Activos identificados y su valoración
   • Amenazas identificadas y su probabilidad
   • Impactos potenciales
   • Riesgos calculados (intrínseco y residual)
3. Evaluación del estado de seguridad:
   • Salvaguardas ya implementadas (estado actual)
   • Nivel de madurez de cada salvaguarda
   • Gaps (brechas) respecto a lo requerido por el ENS
4. Plan de mejora de la seguridad:
   • Listado de salvaguardas a implementar
   • Priorización (basada en el riesgo)
   • Calendario de implantación (hitos, plazos)
   • Responsables de cada acción
   • Recursos necesarios (presupuesto estimado)
5. Declaración de aplicabilidad:
   • Tabla con todas las medidas del Anexo II ENS
   • Para cada medida: Aplicable Sí/No, Estado de implementación, Justificación si no aplica
6. Riesgo residual:
   • Identificación del riesgo que permanece tras aplicar las salvaguardas
   • Aceptación formal del riesgo residual por el responsable del sistema

6.3. Ciclo de Vida del Plan de Seguridad

El Plan de Seguridad NO es un documento estático. Sigue un ciclo de vida continuo:

6.4. Periodicidad de Revisión del Plan de Seguridad

El ENS establece que el Plan de Seguridad debe revisarse:

• Anualmente: Revisión ordinaria para verificar avances, actualizar riesgos, ajustar calendario.
• Cuando haya cambios significativos:
  • Cambios en el sistema (nueva funcionalidad, migración cloud…)
  • Cambios en el entorno de amenazas (nuevas vulnerabilidades críticas)
  • Tras un incidente de seguridad grave
  • Cambios normativos (nueva ley, actualización ENS)

7. LA HERRAMIENTA PILAR

7.1. ¿Qué es PILAR?

PILAR (Procedimiento Informático Lógico de Análisis de Riesgos) es la herramienta informática oficial desarrollada por el Ministerio para aplicar la metodología MAGERIT de forma asistida.

Características de PILAR:

• Software gratuito disponible para descarga en la web del CCN-CERT
• Desarrollado en Java (multiplataforma: Windows, Linux, macOS)
• Interfaz gráfica amigable
• Incorpora los catálogos de MAGERIT v3 (activos, amenazas, salvaguardas)
• Genera automáticamente matrices de riesgo, gráficos, informes
• Permite exportar el análisis en varios formatos (PDF, XML, Excel)
• Soporta análisis cualitativo y cuantitativo

7.2. Funcionalidades Principales de PILAR

1️⃣ Gestión de Proyectos de Análisis

PILAR te permite crear proyectos de análisis de riesgos. Cada proyecto es un sistema de información a analizar (Ej: «Proyecto Diraya 2025», «Proyecto Receta XXI»).

2️⃣ Inventario de Activos

Interfaz para dar de alta activos del sistema. Puedes usar los tipos predefinidos del catálogo MAGERIT o crear tipos personalizados.

• Identificación del activo (nombre, código)
• Tipo de activo ([D], [S], [SW], [HW], [COM]…)
• Dependencias con otros activos (modelo de árbol)
• Valoración en las 5 dimensiones [C, I, D, A, T]

3️⃣ Identificación de Amenazas

Para cada activo, seleccionas qué amenazas del catálogo le son aplicables. PILAR sugiere automáticamente amenazas típicas según el tipo de activo.

• Selección de amenazas del catálogo MAGERIT
• Valoración de la probabilidad (Muy Baja a Muy Alta, o porcentaje en cuantitativo)
• Valoración de la degradación que causa la amenaza en cada dimensión

4️⃣ Cálculo Automático del Impacto y Riesgo

PILAR calcula automáticamente:

Y genera matrices de riesgo coloreadas (verde-amarillo-naranja-rojo) para visualización rápida.

5️⃣ Gestión de Salvaguardas

Interfaz para asignar salvaguardas a los riesgos identificados:

• Selección de salvaguardas del catálogo (alineadas con ENS e ISO 27002)
• Definición del grado de madurez de cada salvaguarda:
  • L0 – Inexistente
  • L1 – Inicial (ad-hoc, no documentada)
  • L2 – Reproducible (documentada, pero no siempre se sigue)
  • L3 – Definida (proceso formal, se sigue habitualmente)
  • L4 – Gestionada (se mide, se monitoriza)
  • L5 – Optimizada (mejora continua basada en métricas)
• PILAR recalcula el riesgo residual automáticamente

6️⃣ Perfiles de Seguridad

Esta es una funcionalidad clave que cayó en el examen (Pregunta 30):

7️⃣ Declaración de Aplicabilidad

PILAR genera automáticamente la Declaración de Aplicabilidad requerida por el ENS, indicando qué medidas del Anexo II aplican al sistema, su estado de implementación, y justificaciones de no aplicabilidad.

8️⃣ Generación de Informes

PILAR puede generar múltiples tipos de informes:

• Informe Ejecutivo: Resumen de alto nivel para la Dirección (riesgos críticos, inversión necesaria)
• Informe Técnico Completo: Detalle exhaustivo del análisis (todos los activos, amenazas, cálculos…)
• Plan de Seguridad: Documento formal según estructura ENS
• Matrices de Riesgo: Visualizaciones gráficas
• Listado de Salvaguardas Pendientes: Para seguimiento de implantación

Los informes se pueden exportar en PDF, Word, Excel, o XML.

7.3. Ventajas de Usar PILAR

• ✅ Sistematiza el proceso: Guía paso a paso en la aplicación de MAGERIT, reduciendo errores.
• ✅ Ahorra tiempo: Los cálculos se hacen automáticamente. Sin PILAR, tendrías que hacer matrices en Excel manualmente.
• ✅ Catálogos actualizados: Incorpora las últimas versiones de los catálogos de amenazas y salvaguardas.
• ✅ Cumplimiento ENS: Los informes generados cumplen con los requisitos formales del ENS.
• ✅ Gratuita y oficial: No necesitas comprar licencias de herramientas comerciales.
• ✅ Trazabilidad: Todo queda documentado en la herramienta, facilitando auditorías.

7.4. Limitaciones de PILAR

• ❌ Curva de aprendizaje: Aunque es amigable, requiere formación inicial para usarla correctamente.
• ❌ No hace el trabajo por ti: PILAR es solo una herramienta de soporte. El análisis de riesgos sigue requiriendo juicio experto, entrevistas, conocimiento del sistema…
• ❌ Interfaz algo anticuada: La interfaz Java no es tan moderna como herramientas comerciales actuales.
• ❌ No integra con otras herramientas: No se integra directamente con CMDBs, SIEMs, u otras herramientas de gestión TI.

7.5. Alternativas a PILAR

Aunque PILAR es la herramienta oficial y gratuita, existen alternativas comerciales:

• ISMS.online: Plataforma SaaS para gestión de SGSI (ISO 27001) con módulo de análisis de riesgos.
• Modulo Risk Manager: Herramienta de Deloitte para análisis de riesgos empresariales.
• ISMS Manager: Software comercial para ISO 27001, incluye análisis de riesgos.
• Excel personalizado: Muchas organizaciones construyen sus propias plantillas Excel para análisis cualitativo rápido.

Sin embargo, en el sector público español, PILAR es el estándar de facto por su alineación con MAGERIT y ENS.

8. APLICACIÓN DE MAGERIT EN EL SERVICIO ANDALUZ DE SALUD

8.1. Marco Normativo Específico del SAS

El SAS, como organismo de la Junta de Andalucía, está sujeto a múltiples normativas que obligan al análisis de riesgos:

8.2. Sistemas del SAS que Requieren Análisis de Riesgos

En el SAS, prácticamente TODOS los sistemas corporativos requieren análisis de riesgos formal porque:

• Procesan datos de salud (categoría especial RGPD)
• Son esenciales para la prestación asistencial
• Su compromiso tendría alto impacto

Principales sistemas que DEBEN tener análisis de riesgos actualizado:

8.3. Proceso de Análisis de Riesgos en el SAS

En el SAS, el proceso típico de análisis de riesgos para un nuevo sistema o actualización significativa sigue estos pasos:

1. Solicitud formal: El responsable funcional del sistema solicita el análisis al Servicio de Seguridad TI.
2. Constitución del equipo: Se forma un equipo multidisciplinar:
   • Responsable de Seguridad de la Información (RSI)
   • Analista de riesgos (técnico especializado)
   • Responsable funcional del sistema (área de negocio)
   • Técnicos de infraestructura y aplicaciones
   • DPO (Delegado de Protección de Datos)
   • Auditor interno (en sistemas críticos)
3. Recopilación de información:
   • Entrevistas con usuarios y responsables
   • Revisión de documentación técnica
   • Análisis de la arquitectura del sistema
   • Identificación de datos tratados
4. Análisis con PILAR:
   • Creación del proyecto en PILAR
   • Inventario y valoración de activos
   • Identificación de amenazas y vulnerabilidades
   • Cálculo de riesgos
   • Propuesta de salvaguardas
5. Elaboración del Plan de Seguridad:
   • Generación del informe con PILAR
   • Personalización con contexto específico del SAS
   • Definición de calendario y responsables
   • Estimación de recursos necesarios
6. Aprobación:
   • Revisión por el RSI
   • Presentación al Comité de Seguridad TI del SAS
   • Aprobación por el responsable del sistema y la Dirección de Sistemas
7. Implantación y seguimiento:
   • Ejecución del Plan de Mejora
   • Seguimiento trimestral del avance
   • Revisión anual del análisis de riesgos

8.4. Casos Prácticos Reales de Análisis de Riesgos en el SAS

9. CONCLUSIONES Y PUNTOS CLAVE PARA EL EXAMEN

💡 Ideas Clave del Tema

1. MAGERIT es LA metodología oficial de análisis de riesgos en la Administración Pública española. Si en el examen te preguntan «¿qué metodología se debe usar para cumplir el ENS?», la respuesta es MAGERIT (aunque técnicamente el ENS no obliga a una metodología concreta, MAGERIT es la referencia).
2. Riesgo = Probabilidad × Impacto. Esta fórmula es fundamental. El riesgo combina dos factores: la frecuencia de la amenaza y el daño que causa.
3. PILAR es la herramienta oficial para aplicar MAGERIT. Conoce sus funciones principales, especialmente el «perfil de seguridad» (pregunta 30 del examen).
4. Análisis cualitativo vs cuantitativo: El cualitativo es más común en el sector público, el cuantitativo se usa cuando necesitas ROI preciso. Conoce las diferencias.
5. El Plan de Seguridad es obligatorio para sistemas MEDIO y ALTO según el ENS. Debe revisarse anualmente y cuando haya cambios significativos.
6. Tratamiento del riesgo: Reducir (salvaguardas), Transferir (seguros), Evitar (no hacer la actividad), Aceptar (decisión consciente). Estas 4 estrategias las tienes que dominar.
7. En el SAS, casi todo es MEDIO o ALTO porque se manejan datos de salud (categoría especial RGPD) y servicios esenciales para la asistencia. Por tanto, análisis de riesgos formal con MAGERIT es casi siempre obligatorio.

📚 Estrategia de Estudio para Este Tema

🎯 Aplicabilidad Práctica en tu Futuro Puesto TFA-STI

Cuando apruebes esta oposición y estés trabajando en el SAS como TFA-STI, el conocimiento de MAGERIT te va a servir para:

• Participar en análisis de riesgos de nuevos proyectos: Serás parte del equipo que evalúa la seguridad de nuevos sistemas antes de su implantación.
• Evaluar proveedores: Cuando el SAS contrate un servicio cloud, un proveedor de backup, o cualquier servicio TIC externo, tú ayudarás a evaluar los riesgos desde el punto de vista de seguridad.
• Gestión de incidentes: Cuando ocurra un incidente de seguridad, aplicarás MAGERIT para analizar qué falló, qué impacto tuvo, y qué salvaguardas adicionales hay que implementar.
• Auditorías: Las auditorías ENS, ISO 27001, o RGPD siempre piden evidencias de análisis de riesgos. Tú serás quien prepare esa documentación.
• Mejora continua: Revisarás periódicamente los análisis de riesgos de los sistemas corporativos del SAS, identificando nuevas amenazas (ransomware, vulnerabilidades 0-day…) y proponiendo salvaguardas.

En definitiva, MAGERIT no es solo «un tema de oposición»… es una herramienta de trabajo real que vas a usar constantemente en tu día a día profesional.

10. CUESTIONARIO DE PREGUNTAS TIPO TEST

A continuación, 30 preguntas tipo test con nivel de dificultad de oposición. Incluyen las 2 preguntas reales del examen (30 y 37) más 28 adicionales que cubren todos los aspectos del tema.

11. MAPA CONCEPTUAL

ANÁLISIS Y GESTIÓN DE RIESGOS - MAGERIT
│
├── 📚 FUNDAMENTOS
│   ├── Conceptos: Activo, Amenaza, Vulnerabilidad, Impacto, Riesgo, Salvaguarda
│   ├── Fórmula: RIESGO = PROBABILIDAD × IMPACTO
│   └── Marco: ENS, RGPD, ISO 27001, Ley 40/2015
│
├── 📖 MAGERIT v3 (2012)
│   ├── Libro I: Método (5 tareas)
│   ├── Libro II: Catálogos (Activos, Amenazas [N,I,E,A], Salvaguardas)
│   └── Libro III: Técnicas
│
├── ⚙️ PROCESO (5 TAREAS)
│   ├── 1️⃣ Identificar activos [D,S,SW,HW,COM,MEDIA,AUX,L,P]
│   ├── 2️⃣ Valorar activos [C,I,D,A,T] (0-10)
│   ├── 3️⃣ Identificar amenazas + probabilidad
│   ├── 4️⃣ Calcular impacto y riesgo (Matriz)
│   └── 5️⃣ Tratar riesgo: Reducir/Transferir/Evitar/Aceptar
│
├── 📊 TÉCNICAS
│   ├── Cualitativo: Alto/Medio/Bajo (rápido, común en SAS)
│   └── Cuantitativo: €€€, ALE=SLE×ARO (preciso, lento)
│
├── 📄 PLAN DE SEGURIDAD (ENS)
│   ├── Contenido: Sistema, Análisis, Estado, Mejora, Declaración, Residual
│   ├── Revisión: Anual + cambios
│   └── Ciclo PDCA: Plan→Do→Check→Act
│
├── 💻 PILAR v5.4
│   ├── Gestión proyectos, Inventario, Valoración
│   ├── Cálculo automático riesgos
│   ├── Salvaguardas (L0-L5)
│   ├── Perfiles de seguridad (⭐ Pregunta examen 30)
│   └── Informes ENS
│
└── 🏥 SAS
    ├── Sistemas ALTO: Diraya, Receta XXI, BDU, PACS
    ├── Obligatorio: ENS + RGPD + Política TI SSPA
    └── Casos: Ransomware 2021, Cloud híbrido, App móvil