Skip to main content

Guía de implantación Magerit (Español) (María)

Updated over 3 weeks ago

Introducción

Esta guía explica, de forma práctica, cómo realizar un análisis de riesgos siguiendo MAGERIT dentro de Formalize.

La idea es que puedas arrancar sin necesidad de ser experto en MAGERIT, ya que la plataforma trae una configuración preparada para que todo el proceso sea lo más fluido posible.

Antes de empezar: qué incluye MAGERIT en Formalize.

Formalize incorpora una configuración completa para que puedas trabajar con MAGERIT desde el primer día:

  • Catálogo completo de amenazas MAGERIT asignado automáticamente al dar de alta un activo.

  • Dimensiones de impacto MAGERIT: Confidencialidad, Integridad, Disponibilidad y Trazabilidad.

  • Escala de valoración configurable (1–3, 1–5 o 1–7). Importante: comunica a tu CEM qué escala prefieres para que pueda configurar tu cuenta con la opción seleccionada.

  • Conexiones entre activos, sistemas, procesos y proveedores, que permiten calcular riesgos combinados o dependencias.

  • Cálculo automático del riesgo inherente, tanto por amenaza como por activo completo, incluyendo activos conectados entre sí.

  • Conexión directa con controles del ENS o ISO 27001 para establecer las salvaguardas.

  • Cálculo del riesgo residual en función de la implantación real de los controles.

Formalize elimina la parte pesada del modelo MAGERIT y te permite centrarte únicamente en valorar activos, ajustar probabilidades y vincular controles.

Resumen rápido del proceso en 10 pasos

  1. Crear activo

  2. Valorar dimensiones MAGERIT

  3. Seleccionar probabilidad por amenaza

  4. Revisar riesgo inherente

  5. Conectar activos relacionados

  6. Crear riesgos globales (opcional)

  7. Conectar controles ENS/ISO

  8. Definir estrategia de mitigación

  9. Obtener riesgo residual

  10. Seguimiento continuo

PARTE I — Crear y valorar activos con metodología MAGERIT

Paso 1 — Registrar el activo

Desde el módulo Activos, crea el activo y completa la información relevante:

CleanShot 2025-12-10 at 10.47.17

  1. Define el nombre del activo.

  2. Añade la descripción, propietario, ubicación, tipo, criticidad o etiquetas (opcional). Recuerda que en Formalize puedes customizar la información que quieres registrar para tus activos. Por defecto tenemos los datos básicos (así como la configuración MAGERIT) pero es totalmente editable y customizable por cada cliente.

  3. Determina si ha de analizarse el activo con la Metodología MAGERIT.

    CleanShot 2025-12-10 at 11.01.39

  4. En cuanto se estime la necesidad de hacer la evaluación del activo siguiendo la metodología MAGERIT, selecciona el tipo de activo. Verás que Formalize añade automáticamente, en función de este, las amenazas MAGERIT que corresponden.

Paso 2 — Valorar impacto de las amenazas (dimensiones MAGERIT)

En función del tipo de activo se valoran las cuatro dimensiones de impacto - sólo se valoran las dimensiones que MAGERIT determina son aplicables a cada amenaza:

  • Confidencialidad

  • Integridad

  • Disponibilidad

  • Trazabilidad

Para cada dimensión, selecciona un valor dentro de la escala configurada. Formalize utilizará estas valoraciones para calcular el impacto de cada amenaza de manera automática.

CleanShot 2025-12-10 at 11.07.59

Recomendación: No pienses todavía en controles. Valora únicamente el daño que sufriría la organización si la amenaza se materializara.

Paso 3 — Valorar probabilidad por amenaza

Ahora toca completar el otro elemento fundamental del riesgo

Para cada amenaza del activo indica la probabilidad según tu escala (1–3 / 1–5 / 1–7).

CleanShot 2025-12-10 at 11.10.09

De nuevo la misma recomendación: No pienses todavía en controles. Valora únicamente la probabilidad de ocurrencia de esa amenaza para tu organización.

Paso 4 — Riesgo inherente del activo

Formalize calcula en tiempo real:

  • el riesgo inherente de cada amenaza utilizando la fórmula: probabilidad de la amenaza x máximo impacto entre las cuatro dimensiones evaluadas.

  • el riesgo inherente del activo utilizando la fórmula - el máximo de los riesgos inherentes de cada amenaza.

CleanShot 2025-12-10 at 11.16.16

CleanShot 2025-12-10 at 11.20.16

El resultado es: el riesgo inherente de ese activo valorando todas sus amenazas. Es una forma sencilla de identificar los activos más expuestos sin necesidad de revisar amenaza por amenaza.

Paso 5 - Establecer las conexiones entre activos - Riesgo inherente considerando activos conectados

En MAGERIT (y en cualquier modelo de riesgo basado en activos), es fundamental identificar cómo se relacionan entre sí.

Puedes crear estas conexiones:

  • al dar de alta el activo, si ya conoces sus dependencias, o

  • más adelante, cuando el análisis avance y se identifiquen relaciones adicionales.

¿Qué tipo de conexiones debes establecer?

  • Activos esenciales (servicios/datos)

  • Activos secundarios o dependientes

CleanShot 2025-12-10 at 11.24.21

Para más información en cómo crear conexiones entre elementos, consulta nuestro artículo sobre Conexiones

Así, Formalize mantiene el riesgo inherente del activo tal y como lo has valorado, pero genera automáticamente un segundo cálculo que muestra el riesgo del activo dentro de su “grupo” o ecosistema, heredando el riesgo más alto de los activos conectados.

Esto refleja mejor la realidad: Un activo puede tener riesgo propio bajo, pero estar expuesto porque depende de un activo mucho más crítico.

PARTE II — Conexión con riesgos y análisis avanzado

Paso 6 — Crear riesgos globales (opcional pero recomendado)

Aunque MAGERIT es una metodología orientada a activos, puedes complementar el análisis creando “riesgos agregados” o riesgos a nivel organizativo. Por ejemplo interrupción del servicio, pérdida de datos sensibles, fuga de datos de clientes etc). MAGERIT es únicamente una metodología pero Formalize permite integrarla en el BAU de la gestión de riesgos de una organización y puede integrarse con la gestión de riesgos que tengan ya definida.

Para ello:

  1. Configura primero el modelo de riesgos en el módulo de Riesgos (metodología, escalas, fórmulas…). Si necesitas información sobre cómo hacerlo, consulta nuestro artículo "Riesgos"

  2. Ve al módulo Riesgos y crea un riesgo.

  3. Conéctalo con los activos relacionados.

CleanShot 2025-12-10 at 11.29.05

De esta forma, el riesgo global podrá heredar valores del riesgo inherente de los activos que lo soportan.

Paso 7 — Conectar el riesgo con controles (ENS o ISO 27001)

Aquí es donde MAGERIT se convierte en un proceso de gestión de riesgos completo. Este es el punto donde el análisis deja de ser “teórico” y pasa a convertirse en una gestión real.

Desde la sección de Estrategias de mitigación, puedes:

  • vincular controles aplicables, y

  • definir el impacto que estos controles tienen sobre el riesgo.

CleanShot 2025-12-10 at 14.21.54

Cuando más adelante evalúes los controles, el riesgo residual se actualizará automáticamente según la efectividad

Paso 8 — Definir la estrategia de mitigación

Para cada riesgo decide si vas a mitigar, aceptar, transferir o evitar el riesgo.

Si eliges "Riesgo mitigado", se aplicarán las estrategias definidas por los controles conectados. De esta manera, Formalize ajusta automáticamente el impacto en el riesgo residual.

CleanShot 2025-12-10 at 14.21.54

PARTE III — Riesgo residual y seguimiento

Paso 9 — Calcular riesgo residual

Una vez definidos los controles e introducido su nivel de implantación, Formalize recalcula el riesgo residual, y documenta la trazabilidad.

De este modo podrás ver:

  • Riesgo inherente

  • Controles aplicados

  • Efecto de mitigación

  • Riesgo residual final

  • Evidencias relacionadas (perfecto para auditorías)

Paso 10 — Seguimiento continuo

Formalize ofrece vistas que ayudan a mantener todo actualizado:

  • Panel general de riesgos

  • Vistas por activo

  • Vistas por control

  • Informes exportables

  • Registro automático de cambios (sin necesidad de crear nuevas versiones)

Con estos pasos ya tienes todo lo necesario para trabajar MAGERIT dentro de Formalize de una forma ordenada y práctica. A partir de aquí, cada organización puede adaptar el nivel de detalle, los controles y la frecuencia de revisión según su propia realidad. Lo importante es que el análisis no se quede estático: revísalo, ajústalo y mantenlo vivo para que realmente aporte valor en la toma de decisiones del día a día.




Maria

Publicado por María Amparo Soriano Varela, Customer Enablement Manager

Esperamos que este artículo le haya resultado útil y que le haya ayudado a entender cómo aplicar la metodología Magerit en Formalize.

Si necesita ayuda, no dude en programar una reunión con nuestro equipo de Customer Success.

También puede contactarnos por correo electrónico a contact@formalize.com.

We hope this article was helpful!


If you have any additional questions, please reach out to us via chat in the bottom right corner of the page — our team is always happy to assist you further.

Did this answer your question?