Metodologías de análsis y evaluación de riesgos

Estándares y metodologías para el análisis y gestión de riesgos

La gestión de riesgos de seguridad de la información es tal vez el proceso más significativo para la
estructuración, mantenimiento y mejora de un sistema capaz de gestionar adecuadamente la
seguridad de la información.

Las metodologías de análisis y/o evaluación de riesgos ayudan a las organizaciones a acelerar este
proceso. Algunas de las metodologías más utilizadas son:

· ISO/IEC 27005: Establece las directrices para la gestión del riesgo en la seguridad de la
información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está
diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un
enfoque de gestión de riesgos. Describe el proceso completo de gestión de riesgos dividiéndolo en
6 fases: Establecimiento del Alcance, Valoración de Riesgos (formada por las tareas de Análisis y
Evaluación), Tratamiento de Riesgos, Aceptación de Riesgos, Comunicación de Riesgos y
Monitorización y Revisión de Riesgos.

· EBIOS:Metodología Francesa de Análisis y Gestión de Riesgos. Es un grupo de guías más una

herramienta de código libre, enfocada a gestores del riesgo de tecnologías de la información.
Desarrollada en un comienzo por el gobierno francés, ha tenido una gran difusión y se usa tanto
en el sector público como en el privado no solo de Francia sino en otros países. La metodología
EBIOS consta de un ciclo de 5 fases:

Fase 1: Análisis del contexto, estudiando cuales son las dependencias de los procesos del negocio
respecto a los sistemas de información.

Fase 2 y 3: Análisis de las necesidades de seguridad y de las amenazas, determinando los puntos
de conflicto.

Fase 4 y 5: Resolución del conflicto, estableciendo los objetivos de seguridad necesarios y

suficientes, con pruebas de su cumplimiento y dejando claros cuales son los riesgos residuales.

· TARA (theThreatAgentRiskAssessment): Fue desarrollada por Intel para llevar a cabo sus
evaluaciones de riesgos de seguridad y posteriormente decidió hacerla pública. Se centra en el
seguimiento y la evaluación continua de los controles de seguridad, incluyendo documentación de
cambios en los sistemas, la realización de análisis de impacto a los cambios asociados, y la premisa
de informar sobre el estado de seguridad a los empleados o participantes de la organización de
una forma regular.

· OCTAVE: Es un conjunto de herramientas, técnicas y métodos para la evaluación estratégica

de seguridad de información basada en el riesgo y la planificación. Desarrolladas por CERT y la
Universidad Carnegie Mellon. Tiene diferentes versiones: OCTAVE - Method está destinado a las
grandes organizaciones, mientras que OCTAVE-S es para pymes. Por otra parte, OCTAVE - Allegro
es una variación de OCTAVE-Method muy enfocada a los activos de información.

· COSO (Committee of SponsoringOrganizations of theTreadwayCommission): Es un modelo

para entender el control interno y sirve como punto de partida para definir la administración de
riesgo de manera transversal en una organización.

COSO permite relacionar las necesidades de alto nivel -efectividad y eficiencia en la operación,
confiabilidad de los reportes financieros y cumplimiento con leyes y regulaciones, con
requerimientos de administración de riesgo genéricos y específicos para los distintos procesos de
negocio de una organización, incluyendo los procesos de apoyo como las Tecnologías de
Información.

· MAGERIT: Es la metodología de análisis y gestión de riesgos de los sistemas de información

elaborada por el Consejo Superior de Administración Electrónica, como respuesta a la percepción
de que en la Administración, y, en general, toda la sociedad, dependen de forma creciente de las
tecnologías de la información para el cumplimiento de su misión.

· COBIT (Control ObjectivesforInformation and relatedTechnology): Es un modelo de gobierno

para administrar el riesgo y controlar las Tecnologías de Información. Mantenido por ISACA (en
inglés: InformationSystemsAudit and Control Association) y el IT GovernanceInstitute, tiene una
serie de recursos que pueden servir de modelo de referencia para la gestión de Tecnologías de
Información, incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de
auditoría, herramientas para su implementación y principalmente, una guía de técnicas de gestión.
La estructura del estándar COBIT se divide en dominios que son agrupaciones de procesos que
corresponden a una responsabilidad personal, procesos que son una serie de actividades unidas
con delimitación o cortes de control y objetivos de control o actividades requeridas para lograr un
resultado medible. En la actualidad se encuentra la versión 5, la cual proporciona una visión
empresarial del Gobierno de Tecnologías de Información que tiene a la tecnología y a la
información como protagonistas en la creación de valor para las empresas.