Tema específico

Tema 20. Análisis y gestión de riesgos de los sistemas de información. Herramientas.

Análisis y gestión de riesgos de los sistemas de información 🎯 Idea clave El análisis de riesgos identifica, evalúa y prioriza las amenazas que pueden afectar a los sistemas de información de la Admin…

AGE07 A2 03/07/2026

Gestion de Sistemas e Informatica eleva la rama tecnica de OPOAGE a un cuerpo A2 con un primer ejercicio de 100 preguntas tipo test.

Lectura pública del tema

1. Análisis y gestión de riesgos de los sistemas de información

1. Análisis y gestión de riesgos de los sistemas de información

🎯 Idea clave

  • El análisis de riesgos identifica, evalúa y prioriza las amenazas que pueden afectar a los sistemas de información de la Administración General del Estado.
  • La gestión de riesgos integra procesos para mitigar, transferir o aceptar los riesgos identificados, alineándose con los objetivos institucionales.
  • La metodología MAGERIT es el marco de referencia obligatorio en la AGE para estructurar estos procesos.
  • Los riesgos se clasifican según su impacto en la confidencialidad, integridad y disponibilidad de la información.
  • La evaluación de riesgos debe ser periódica y adaptarse a los cambios tecnológicos y organizativos.
  • La gestión de riesgos no elimina por completo las amenazas, pero permite tomar decisiones informadas para minimizar su impacto.

📚 Desarrollo

Marco normativo. En la Administración General del Estado, el análisis y gestión de riesgos se rige por el Esquema Nacional de Seguridad (ENS), establecido en el Real Decreto 311/2022, y por la metodología MAGERIT v3, desarrollada por el Centro Criptológico Nacional (CCN). Estas normas exigen que las entidades públicas identifiquen y gestionen los riesgos de forma sistemática, garantizando la protección de la información y los servicios digitales.

Proceso de análisis de riesgos. El análisis comienza con la identificación de los activos de información, que incluyen datos, sistemas, infraestructuras y procesos. A continuación, se determinan las amenazas potenciales, como ciberataques, fallos técnicos o errores humanos, y se evalúan las vulnerabilidades que podrían ser explotadas. Este proceso permite cuantificar el riesgo en función de la probabilidad de ocurrencia y el impacto potencial.

Evaluación de riesgos. La evaluación clasifica los riesgos en categorías según su gravedad, utilizando criterios como la confidencialidad, integridad y disponibilidad de la información. En la AGE, se emplean escalas cualitativas o cuantitativas para priorizar los riesgos, facilitando la asignación de recursos para su tratamiento. La metodología MAGERIT propone un enfoque estructurado para esta evaluación, asegurando coherencia en todas las entidades públicas.

Tratamiento de riesgos. Una vez evaluados, los riesgos se gestionan mediante estrategias como la mitigación, la transferencia, la aceptación o la evitación. La mitigación implica implementar controles técnicos u organizativos para reducir la probabilidad o el impacto. La transferencia puede realizarse mediante seguros o acuerdos con terceros, mientras que la aceptación se aplica cuando el coste de mitigación supera el beneficio. La evitación consiste en eliminar la actividad o activo que genera el riesgo.

Plan de gestión de riesgos. La AGE exige la elaboración de un Plan de Gestión de Riesgos que documente los resultados del análisis, las medidas adoptadas y los responsables de su implementación. Este plan debe actualizarse periódicamente para reflejar cambios en el entorno tecnológico o en las amenazas identificadas. La revisión continua es clave para mantener la eficacia de las medidas de protección.

Integración con otros procesos. La gestión de riesgos no es un proceso aislado, sino que se integra con otros marcos de la AGE, como el Esquema Nacional de Interoperabilidad (ENI) y los planes de continuidad de negocio. Esta integración asegura que la protección de la información sea coherente con los objetivos estratégicos de la administración electrónica y la transformación digital.

Responsabilidades. En la AGE, la gestión de riesgos es responsabilidad de los responsables de seguridad de la información (RSI), quienes coordinan las acciones con los equipos técnicos y directivos. La implicación de la alta dirección es esencial para garantizar la asignación de recursos y el cumplimiento de las políticas establecidas.


🧩 Elementos esenciales

  • Activos de información: Elementos como datos, sistemas, infraestructuras y procesos que deben protegerse en la AGE.
  • Amenazas: Eventos potenciales que pueden explotar vulnerabilidades, como ciberataques, fallos técnicos o errores humanos.
  • Vulnerabilidades: Debilidades en los sistemas o procesos que pueden ser aprovechadas por amenazas.
  • Impacto: Consecuencias negativas derivadas de la materialización de un riesgo, medidas en términos de confidencialidad, integridad y disponibilidad.
  • Probabilidad: Posibilidad de que una amenaza se materialice, evaluada en escalas cualitativas o cuantitativas.
  • Riesgo residual: Nivel de riesgo que persiste después de aplicar medidas de mitigación.
  • MAGERIT v3: Metodología de referencia en la AGE para el análisis y gestión de riesgos, desarrollada por el CCN.
  • ENS (Esquema Nacional de Seguridad): Marco normativo que establece los principios y requisitos para la protección de la información en la administración pública.
  • Controles de seguridad: Medidas técnicas u organizativas implementadas para reducir riesgos, como firewalls, cifrado o políticas de acceso.
  • Plan de Gestión de Riesgos: Documento que recoge los resultados del análisis, las medidas adoptadas y los responsables de su ejecución.
  • Revisión periódica: Proceso continuo de actualización del análisis de riesgos para adaptarse a cambios tecnológicos o amenazas emergentes.
  • Responsable de Seguridad de la Información (RSI): Figura encargada de coordinar la gestión de riesgos en la AGE.

🧠 Recuerda

  • El análisis de riesgos es un proceso sistemático que identifica, evalúa y prioriza amenazas.
  • La gestión de riesgos en la AGE se basa en la metodología MAGERIT y el Esquema Nacional de Seguridad.
  • Los riesgos se clasifican según su impacto en la confidencialidad, integridad y disponibilidad de la información.
  • Las estrategias de tratamiento incluyen mitigación, transferencia, aceptación y evitación.
  • El Plan de Gestión de Riesgos debe actualizarse periódicamente para mantener su eficacia.
  • La implicación de la alta dirección es clave para garantizar recursos y cumplimiento.
  • La gestión de riesgos no elimina por completo las amenazas, pero permite tomar decisiones informadas.
  • Los activos de información, amenazas y vulnerabilidades son elementos centrales del análisis.
  • La revisión continua asegura que las medidas de protección se adapten a los cambios del entorno.
  • El riesgo residual es el nivel de riesgo que persiste tras aplicar controles de seguridad.

2. Herramientas

2. Herramientas

🎯 Idea clave

  • Las herramientas de análisis y gestión de riesgos en la Administración General del Estado se alinean con estándares internacionales y metodologías específicas para el sector público.
  • MAGERIT es la metodología de referencia en la AGE para la gestión de riesgos de los sistemas de información.
  • Las herramientas automatizadas permiten identificar, evaluar y mitigar riesgos de forma sistemática y documentada.
  • La integración de frameworks como COBIT e ISO 27001 complementa el enfoque de MAGERIT en la AGE.
  • Las herramientas deben garantizar la trazabilidad y la auditoría de los procesos de gestión de riesgos.
  • La selección de herramientas depende de los requisitos de interoperabilidad y seguridad establecidos en el Esquema Nacional de Seguridad (ENS).

📚 Desarrollo

Metodología MAGERIT. En la Administración General del Estado, la gestión de riesgos se basa en la metodología MAGERIT v3, desarrollada por el Centro Criptológico Nacional (CCN). Esta metodología proporciona un marco estructurado para identificar activos, analizar amenazas, evaluar vulnerabilidades y calcular el riesgo residual. MAGERIT es obligatoria para los sistemas de información del sector público y se integra con el Esquema Nacional de Seguridad (ENS), que establece los principios y requisitos mínimos para proteger la información.

Herramientas automatizadas. Para implementar MAGERIT, la AGE utiliza herramientas como PILAR, desarrollada por el CCN. PILAR permite automatizar el análisis de riesgos, generar informes estandarizados y mantener un registro histórico de las evaluaciones. Esta herramienta facilita la aplicación de controles de seguridad y la priorización de medidas correctivas, alineándose con los requisitos del ENS y las directrices de la Ley 40/2015 de Régimen Jurídico del Sector Público.

Integración con COBIT e ISO 27001. Aunque MAGERIT es la metodología principal, la AGE complementa su enfoque con frameworks internacionales como COBIT 2019 e ISO 27001:2022. COBIT proporciona un modelo de gobierno y gestión de TI, mientras que ISO 27001 establece los requisitos para un sistema de gestión de seguridad de la información (SGSI). La combinación de estas metodologías permite una gestión de riesgos más robusta y alineada con las mejores prácticas internacionales.

Técnicas de auditoría. Las herramientas de gestión de riesgos en la AGE incluyen técnicas de auditoría como entrevistas estructuradas, cuestionarios y muestreo. Estas técnicas se utilizan para recopilar información sobre los activos, las amenazas y los controles existentes. Además, se emplean herramientas automáticas de análisis de vulnerabilidades, como escáneres de red y pruebas de penetración, para identificar debilidades en los sistemas.

Análisis de riesgos cuantitativo y cualitativo. Las herramientas utilizadas en la AGE permiten realizar análisis de riesgos tanto cuantitativos como cualitativos. El enfoque cuantitativo asigna valores numéricos a los riesgos, mientras que el cualitativo los clasifica en categorías como alto, medio o bajo. Esta dualidad facilita la toma de decisiones y la priorización de medidas correctivas, especialmente en entornos con recursos limitados.

Documentación y trazabilidad. Una de las funciones clave de las herramientas de gestión de riesgos es garantizar la trazabilidad de los procesos. Esto incluye la documentación de los activos, las amenazas identificadas, las vulnerabilidades detectadas y las medidas de mitigación aplicadas. La trazabilidad es esencial para cumplir con los requisitos de auditoría y para demostrar el cumplimiento del ENS y otras normativas aplicables.

Interoperabilidad y seguridad. Las herramientas seleccionadas en la AGE deben cumplir con los principios de interoperabilidad y seguridad establecidos en el Real Decreto 4/2010 (ENI). Esto implica que deben ser compatibles con otros sistemas de la Administración y garantizar la confidencialidad, integridad y disponibilidad de la información. Además, deben estar validadas por el CCN para su uso en entornos públicos.


🧩 Elementos esenciales

  • MAGERIT v3: Metodología de referencia en la AGE para la gestión de riesgos de los sistemas de información, desarrollada por el CCN.
  • PILAR: Herramienta automatizada para implementar MAGERIT, que permite analizar riesgos, generar informes y aplicar controles de seguridad.
  • COBIT 2019: Framework internacional utilizado en la AGE para el gobierno y gestión de TI, complementario a MAGERIT.
  • ISO 27001:2022: Norma internacional que establece los requisitos para un sistema de gestión de seguridad de la información (SGSI).
  • Esquema Nacional de Seguridad (ENS): Marco normativo que define los principios y requisitos mínimos para proteger la información en la AGE.
  • Análisis cuantitativo y cualitativo: Técnicas utilizadas para evaluar riesgos, asignando valores numéricos o categorías como alto, medio o bajo.
  • Trazabilidad: Capacidad de las herramientas para documentar y seguir el proceso de gestión de riesgos, desde la identificación hasta la mitigación.
  • Interoperabilidad: Requisito de las herramientas para ser compatibles con otros sistemas de la Administración, según el ENI.
  • Herramientas de auditoría: Incluyen entrevistas estructuradas, cuestionarios, muestreo y escáneres de vulnerabilidades.
  • Centro Criptológico Nacional (CCN): Organismo responsable de validar las herramientas utilizadas en la AGE para la gestión de riesgos.

🧠 Recuerda

  • MAGERIT es la metodología obligatoria para la gestión de riesgos en la AGE.
  • PILAR es la herramienta automatizada más utilizada para implementar MAGERIT.
  • Las herramientas deben garantizar la trazabilidad y el cumplimiento del ENS.
  • COBIT e ISO 27001 complementan el enfoque de MAGERIT en la AGE.
  • El análisis de riesgos puede ser cuantitativo o cualitativo.
  • Las herramientas deben ser interoperables y seguras, según el ENI.
  • La auditoría de riesgos incluye técnicas como entrevistas y muestreo.
  • El CCN valida las herramientas utilizadas en la AGE.
  • La documentación es clave para demostrar el cumplimiento normativo.
  • La gestión de riesgos debe alinearse con los principios de confidencialidad, integridad y disponibilidad.

Prueba la demo si quieres ver el resto

Has abierto una ruta pública de tema. La demo te deja ver cómo encajan temario, preguntas y simulacros dentro de OPOAGE.

Qué vas a probar

Una demo pensada para decidir con criterio

Formato real de estudio

Practica con preguntas justificadas y comprueba si la forma de preparar Gestion de Sistemas e Informatica del Estado encaja contigo.

Temario y simulacros

Verás cómo se integran el temario, las explicaciones y los simulacros dentro del mismo recorrido OPOAGE.

Acceso por correo

Con tu nombre, tu email y la categoría AGE, te enviamos el enlace para terminar el acceso demo.

Gratis Sin compromiso AGE01 a AGE08

Solicita ya tu acceso Demo

Sólo tu email, tu nombre y la categoría AGE. La demo es gratuita.

Acceso por email Rutas AGE activas Login real en mail.opoage.es

Si ya tienes cuenta, entra desde acceso o usa la recuperación de contraseña.

Las convocatorias y bases oficiales se consultan siempre en INAP y BOE.

Preguntas frecuentes

Preguntas clave sobre Gestion de Sistemas e Informatica del Estado y OPOAGE

¿Por que incluir GSI antes que otros cuerpos grandes?

Porque refuerza una rama ya abierta con TAI y mantiene el foco en cuerpos AGE de informatica.

¿Es igual que TAI?

No. TAI es C1 y GSI es A2, con mas profundidad tecnica y otro nivel de exigencia.

¿Encaja con test de cuatro respuestas?

Si. El estudio la incluye por su formato de cuestionarios con respuestas alternativas dentro de la convocatoria AGE.