¿Cómo analizar los riesgos? Con ISO 27005 o con MAGERIT
ISO 27005
Como bien sabemos la piedra angular de todo Sistema de Gestión de Seguridad de la Información es la realización de un análisis de los riesgos asociados a nuestros activos de información gracias a la norma ISO 27005.
La importancia que tiene el Análisis de Riesgos se encuentra en la herramienta que nos va a permitir identificar las amenazas a las que se encuentran expuestos los activos. Es necesario estimar la frecuencia con la se materializan las amenazas y valorar el impacto que supone en nuestra empresa.
Durante el Análisis de Riesgos, existen diferentes metodologías a seguir, aunque hoy queremos hablarle de la metodología MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Se encuentra reconocida por la ENISA (European Network and Information Security Agency) junto a otras metodologías europeas e internacionales. Es una metodología de carácter público elaborada por el Consejo Superior de Administración Electrónica (CSAE), órgano del Ministerio de Administraciones Públicas (MAP) encargado de la preparación, elaboración, desarrollo y aplicación de la política informática.
La metodología de MAGERIT, hasta ahora, ha sido indiscutible, con la excepción de diferentes profesionales que han decidido elaborar sus propias metodologías para considerar que se adaptaban mejor a sus empresas. Desde hace poco tiempo se presenta un competidor. La nueva metodología es el Análisis de Riesgos, siguiendo el estándar ISO 27005.
La norma ISO 27005 derogó las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000, y facilita un conjunto de directrices para la correcta realización de un Análisis de Riesgos.
Se debe señalar que la norma ISO 27005 no facilita una metodología concreta de Análisis de Riesgos, sino que describe mediante sus cláusulas el proceso recomendado de análisis incluyendo las fases que lo conforman:
- Establecimiento del contexto (Cláusula 7)
- Evaluación del riesgo (Cláusula 8)
- Tratamiento del riesgo (Cláusula 9)
- Aceptación del riesgo (Cláusula 10)
- Comunicación del riesgo (Cláusula 11)
- Monitorización y revisión del riesgo (Cláusula 12)
La norma ISO 27005 nos sirve para no tener dudas sobre los elementos que tienen que incluir las buenas metodologías de Análisis de Riesgos, por lo que desde este punto de vista puede constituirse como una metodología en sí misma.
Además, la norma ISO 27005 incluye seis Anexos de carácter informativo y no normativo, presenta orientaciones que van desde la identificación de activos e impactos, ejemplos de vulnerabilidades y las amenazas que se encuentran asociadas, hasta diferentes aproximaciones para el análisis en el que se distingue entre al análisis de riesgos de alto nivel y análisis detallado.
¿Con que argumentos cuenta ISO 27005 frente a MAGERIT u otras metodologías existentes? En este caso existen diferentes opiniones dentro de los profesionales del sector.
Por un lado se encuentran algunos profesionales que han acogido la norma ISO 27005 con un gran entusiasmo, se entiende que supone la oficialización a nivel internacional de los requisitos que ha de cumplir una metodología de Análisis de Riesgos, y que por lo tanto aporta claridad a un ámbito que seguramente se necesita. La postura es frecuente entre quienes se dedican a la implantación de Sistemas de Gestión bajo ISO 27001. Esta norma ha nacido de forma clara para apoyar la tarea de análisis y la gestión de riesgos en el marco de un Sistema de Gestión de Seguridad de la Información.
En el otro lado encontramos a quienes no terminan de ver la aportación del estándar para los profesionales del análisis de riesgos, existen muchas metodologías. Desde estas posiciones, la crítica se centra en señalar que el nuevo estándar no se adentra en la gestión de los mismos, sino que se queda en un marco declarativo de determinados riesgos, y dicho marco se enlaza con un ciclo PHVA (planificar, hacer, verificar y actuar) para revisar dichos riesgos.
Los críticos con la norma ISO 27005 añaden otro aspecto que no termina de convencerles, y es precisamente la subordinación del estándar hacia el Sistema de Gestión de Seguridad de la Información. No se puede admitir la declaración que se hace en la cláusula 7.1 de la norma ISO 27005, en la que se cita la finalidad que persigue el Análisis de Riesgos, además del apoyo a un Sistema de Gestión de Seguridad de la Información. La declaración se pone en entredicho argumentado que en realidad la implantación de un Sistema de Gestión de Seguridad de la Información es consecuencia de un análisis de riesgos previo, y no al revés. El Sistema de Gestión de Seguridad de la Información tiene la finalidad de gestionar la Seguridad de la Información desde el punto de partida que supone un Análisis de Riesgos.
Los profesionales que se dedican a la Seguridad de la Información disponen de un nuevo apoyo para esta difícil y crucial tarea que es el análisis y la gestión de riesgos de los activos de información en las empresas.
Software ISO 27001
El estándar internacional ISO 27001 2013, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un SGSI de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma ISO 27001 2013 presta solución a todas estas cuestiones que se plantean a la hora de implementar un SGSI en una empresa.