Diseño gestión de riesgos para Axure Technologies usando la metodología MAGERIT

Abstract

El presente documento, presenta el diseño de un modelo de gestión de riesgos para la compañía Axure Technologies, fundamentado en la metodología de análisis y gestión de riesgos de sistemas de información (en adelante MAGERIT) y alineado con los principios de la norma ISO/IEC 27001:2022. El objetivo principal es estructurar una propuesta clara y adaptable que permita gestionar de forma eficiente los riesgos que afectan los activos de información, contribuyendo al fortalecimiento del direccionamiento estratégico y la eficiencia operativa de la organización. El modelo propuesto está dividido en seis fases: 1) identificación de activos; 2) identificación de amenazas y vulnerabilidades; 3) análisis del riesgo; 4) selección de salvaguardas, 5) tratamiento del riesgo y 6) seguimiento con mejora continua. Cada fase está representada gráficamente y acompañada de tablas, clasificaciones y criterios de valoración que fueron diseñados específicamente para este entorno organizacional. Entre los recursos elaborados se incluyen formatos para el inventario de activos, clasificación de amenazas según MAGERIT, criterios cualitativos para impacto y probabilidad, y una matriz de valoración del riesgo, junto con una propuesta de selección de salvaguardas organizada por categorías establecidas en MAGERIT. Todo el diseño se plantea como una estructura previa a la implementación, permitiendo su aplicación futura bajo condiciones controladas. El modelo está pensado no solo para Axure Technologies, sino también como referencia adaptable para otras organizaciones con estructuras similares. Al resumir y organizar de forma práctica los elementos clave de MAGERIT y su relación con ISO/IEC 27001:2022, el diseño facilita la comprensión del riesgo y sienta las bases para una gestión sistemática, alineada con buenas prácticas internacionales.

This work presents the design of a risk management model for the company Axure Technologies, based on methodology for the analysis and management of information systems risks (hereinafter MAGERIT) and aligned with the principles of ISO/IEC 27001:2022. The main objective is to provide a clear and adaptable structure to manage risks affecting information assets, contributing to improved strategic direction and operational efficiency within the organization. The proposed model is organized into six phases:1) identification of assets:2) identification of threats and vulnerabilities, 3) risk analysis, selection of safeguards, 4) risk treatment, and 6) continuous improvement. Each phase is supported by visual representations and includes custom-designed tools such as classification tables, valuation criteria, and guidance aligned with the organizational context. Developed resources include formats for asset identification, threat classification according to MAGERIT, qualitative criteria for assessing impact and likelihood, and a risk matrix, along with a structured approach to selecting safeguards based on MAGERIT's safeguard categories. This design does not imply implementation but provides a practical framework ready to be adopted in future applications. The model is not only applicable to Axure Technologies but can also be adapted to other organizations with similar structures, particularly in the telecommunications or energy sectors. By summarizing and organizing key elements of MAGERIT and aligning them with ISO/IEC 27001:2022, this design offers a structured and visual tool that facilitates risk understanding and lays the groundwork for effective and standards-aligned risk management.