Lo que la metodología española puede enseñarnos sobre protección digital en tiempos de cambio normativo
¿Qué es MAGERIT y por qué deberías importarte?
Imagina que tienes una caja fuerte digital que guarda lo más valioso de tu organización: datos de clientes, procesos críticos, propiedad intelectual y la reputación que te costó años construir. Ahora imagina que no sabes qué tan fuerte es esa caja, ni quién podría intentar abrirla, ni qué pasaría si lo lograra. Suena estresante, ¿verdad? Pues ahí es exactamente donde entra MAGERIT, una metodología que, lejos de ser un aburrido manual gubernamental, resulta ser una guía práctica y brillante para dormir tranquilo en el mundo de la seguridad informática.
MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) es una metodología desarrollada por el Consejo Superior de Administración Electrónica (CSAE) de España, un organismo dependiente del Ministerio de Hacienda y Administraciones Públicas[1][2]. Desde su versión inicial, se ha convertido en un referente obligado para cualquier profesional que se tome en serio la gestión de riesgos TI en el ámbito público y privado. Su versión 3.0, actualizada y perfeccionada, toma como base la norma internacional ISO 31000 de gestión de riesgos[1][3], lo que la hace perfectamente compatible con otros estándares y marcos de trabajo que ya usemos.
Las grandes lecciones que nos deja MAGERIT
Lo genial de MAGERIT es que no se queda en la teoría. Nos entrega un método sistemático paso a paso que cualquier equipo de TI puede aplicar, sin importar el tamaño de la organización[4]. Estas son las enseñanzas más valiosas que podemos extraer de esta metodología:
1. Conocer tus activos es el punto de partida (y no es tan obvio como suena)
El primer paso de MAGERIT nos obliga a hacer algo que muchos equipos de TI dan por sentado: inventariar y valorar los activos de información[2]. Y no solo se trata de listar servidores y bases de datos, sino de entender qué valor real tienen para la organización. MAGERIT nos enseña a valorar cada activo en tres dimensiones clave: confidencialidad (qué tan sensible es la información), integridad (qué tan crítico es que no sea alterada) y disponibilidad (qué tanto necesitamos que esté operativa)[3]. ¿El resultado? Un mapa claro de qué proteger y con qué prioridad. Algo tan simple como saber que tu base de datos de clientes vale más que el servidor de pruebas puede cambiar radicalmente tu estrategia de seguridad.
2. Las amenazas están en todas partes (y no solo son hackers)
MAGERIT nos recuerda que las amenazas van mucho más allá de un atacante en una sala oscura. La metodología clasifica las fuentes de amenaza en categorías que incluyen desastres naturales (terremotos, inundaciones), fallos industriales (cortes de energía), defectos técnicos en software o hardware, y por supuesto, acciones humanas tanto accidentales como deliberadas[3][4]. Este enfoque holístico es una de las grandes virtudes de MAGERIT: no te deja ciego frente a riesgos que muchas veces se ignoran porque “siempre ha sido así”. En un país como Chile, donde los sismos son parte de la vida cotidiana, esta perspectiva resulta especialmente valiosa.
3. Las salvaguardas: tu escudo personalizable
Una vez identificados los activos y las amenazas, MAGERIT propone un catálogo completo de salvaguardas (medidas de protección) que van desde la prevención y disuasión hasta la detección, corrección y recuperación[3]. Lo interesante es que no impone un menú único, sino que permite a cada organización seleccionar las medidas más adecuadas según sus activos, las dimensiones de seguridad que necesita proteger y las amenazas identificadas. Además, MAGERIT incorpora la noción de riesgo residual, es decir, el riesgo que queda después de aplicar las salvaguardas, porque reconoce que ninguna medida es perfecta y siempre habrá algo que gestionar. Esta honestidad metodológica es refrescante en un área donde muchas veces se vende la idea de “seguridad total”.
4. El cálculo del riesgo: impacto + probabilidad = decisión informada
Otra de las grandes enseñanzas de MAGERIT es su enfoque cuantificable para estimar riesgos. La metodología distingue entre impacto (el daño que causaría la materialización de una amenaza sobre un activo) y riesgo (el impacto ponderado por la probabilidad de ocurrencia)[3]. Es decir, no es lo mismo una amenaza muy grave pero muy improbable, que una moderada pero casi segura. Este cálculo permite priorizar dónde invertir recursos y atención, algo que las organizaciones siempre agradecen cuando los presupuestos son limitados. MAGERIT repite este cálculo tras aplicar salvaguardas, obteniendo el riesgo residual y permitiendo comparar el antes y el after de forma objetiva.
MAGERIT y Chile: una combinación perfecta
Ahora bien, ¿por qué hablar de una metodología española en el contexto chileno? La respuesta es oportuna y emocionante: Chile está viviendo un momento histórico en materia de ciberseguridad. Con la reciente entrada en vigencia de la Ley 21.663, conocida como Ley Marco de Ciberseguridad (publicada en 2024 y operativa desde marzo de 2025)[5][6], el país se dotó de un marco normativo que establece obligaciones claras para entidades públicas y privadas en materia de prevención, detección, reporte y respuesta a incidentes de ciberseguridad.
La ley creó la Agencia Nacional de Ciberseguridad (ANCI) y un CSIRT Nacional renovado[5][7], y definió dos categorías de organizaciones con obligaciones específicas: los Prestadores de Servicios Esenciales (PSE) —empresas de energía, agua, telecomunicaciones, salud, finanzas, transporte— y los Operadores de Importancia Vital (OIV), cuya falla podría afectar la seguridad nacional, la economía o la vida de las personas[5][7]. Esto significa que muchas organizaciones chilenas están buscando ahora mismo cómo implementar sistemas de gestión de seguridad que cumplan con la normativa, y es aquí donde MAGERIT brilla como opción metodológica.
¿Cómo aplicar MAGERIT en el contexto chileno?
Adaptar MAGERIT a la realidad chilena no solo es posible, sino que puede ser la clave para cumplir con la Ley Marco de Ciberseguridad de forma eficiente. Aquí te compartimos algunas ideas concretas:
| Área de aplicación | Cómo MAGERIT ayuda |
| Identificación de activos críticos | MAGERIT permite a los PSE y OIV mapear sus infraestructuras críticas y asignarles un valor de impacto, cumpliendo con los estándares de seguridad que exige la ley. |
| Análisis de amenazas locales | La flexibilidad de MAGERIT permite incorporar amenazas específicas del contexto chileno, como la alta actividad sísmica y los riesgos climáticos. |
| Plan de tratamiento | El enfoque de salvaguardas de MAGERIT se traduce en un plan de tratamiento accionable que las organizaciones pueden presentar ante la ANCI como evidencia de su SGSI.[6] |
| Reporte de incidentes | Al haber analizado previamente los riesgos con MAGERIT, las organizaciones pueden clasificar incidentes más rápidamente, facilitando el cumplimiento de las obligaciones de reporte al CSIRT Nacional.[5][6] |
Tabla 1: Aplicación de MAGERIT a los requerimientos de la Ley Marco de Ciberseguridad de Chile.
La clave está en entender que MAGERIT no es un producto que se “instala”, sino un marco de pensamiento que se adopta. Las organizaciones chilenas pueden tomar los principios de MAGERIT, adaptarlos a su realidad regulatoria y comenzar a construir una cultura de gestión de riesgos que vaya más allá del simple cumplimiento normativo[4]. El objetivo final es que la seguridad informática deje de ser una “tarea de TI” y se convierta en una responsabilidad compartida por toda la organización.
Conclusión: el riesgo no espera, así que manos a la obra
MAGERIT nos enseña que gestionar riesgos informáticos no tiene que ser complicado ni abrumador. Con un enfoque estructurado, claro y probado, cualquier organización puede pasar del “esperemos que no pase nada” al “sabemos qué hacer si pasa”. Y en un Chile que está dando pasos enormes en materia de ciberseguridad con su nueva ley marco, contar con herramientas metodológicas sólidas como MAGERIT puede marcar la diferencia entre estar preparado o no.
Así que ya sabes: si estás en Chile trabajando en TI, ciberseguridad o gestión de riesgos, dale una mirada a MAGERIT. Es gratis, está bien documentada y, sobre todo, funciona. Tu caja fuerte digital te lo agradecerá.
Referencias
[3] CCS – MAGERIT v.3, Libro III: Guía de Técnicas (2012)
[4] INCIBE – Plan Director de Seguridad: Metodologías de Análisis de Riesgos
[5] Proredes – Ley de Ciberseguridad en Chile 2025: qué exige y a quién aplica
[7] Cyberix – Nueva Ley Marco de Ciberseguridad en Chile: Claves y Obligaciones
Deja una respuesta