jueves, 29 de octubre de 2009

Análisis de Riesgos: ISO 27005 vs magerit y otras metodologías

....

En el campo del Análisis de Riesgos, en España tenemos un referente indiscutible cuando nos planteamos la metodología a seguir. Si, ese referente es MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Actualmente por la versión 2.0, goza de una excelente salud y está reconocida por ENISA (European Network and Information Security Agency) junto a otras metodologías europeas e internacionales. Es una metodología de carácter público elaborada por el Consejo Superior de Administración Electrónica (CSAE), órgano del Ministerio de Administraciones Públicas (MAP) encargado de la preparación, elaboración, desarrollo y aplicación de la política informática del Gobierno Español.

Si hasta ahora este reinado de MAGERIT ha sido indiscutible -con la interesante excepción de aquellos profesionales que han decidido elaborar sus “propias” metodologías por considerar que se adaptaban mejor a sus organizaciones- desde hace relativamente poco tiempo disponemos de un competidor de peso. Este nuevo actor en la escena del Análisis de Riesgos es, como ya muchos se habrán imaginado, el estándar internacional ISO/IEC 27005:2008, titulado Information technology – Security techniques – Information security risk management.

ISO 27005 “derogó” las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000, y proporciona desde su publicación en Junio del pasado año 2008, un conjunto de directrices para la correcta realización de un Análisis de Riesgos.

Señalar, no obstante, que ISO 27005 no proporciona una metodología concreta de Análisis de Riesgos, sino que describe a través de su clausulado el proceso recomendado de análisis incluyendo las fases que lo conforman:

• Establecimiento del contexto (Cláusula 7)
• Evaluación del riesgo (Cláusula 8 )
• Tratamiento del riesgo (Cláusula 9)
• Aceptación del riesgo (Cláusula 10)
• Comunicación del riesgo (Cláusula 11)
• Monitorización y revisión del riesgo (Cláusula 12)

En pocas palabras, la norma nos sirve para no tener dudas sobre los elementos que debe incluir toda buena metodología de Análisis de Riesgos, por lo que, visto desde este punto de vista puede constituirse como una metodología en si misma.

Además, el estándar incluye seis Anexos (A-F) de carácter informativo y no normativo, con orientaciones que van desde la identificación de activos e impactos, ejemplos de vulnerabilidades y sus amenazas asociadas, hasta distintas aproximaciones para el análisis distinguiendo entre análisis de riesgos de alto nivel y análisis detallado.

Pero ¿con que argumentos cuenta ISO 27005 frente a MAGERIT u otras metodologías existentes? Pues la verdad es que existe una división palpable en el sector, incluso a nivel europeo (en este caso, lógicamente, comparando el estándar ISO frente a las metodologías propias de cada país).
...



Visto en www.delitosinformaticos.com

No hay comentarios: