Anlisis de Riesgos: ISO 27005 vs magerit y otras metodologas

Como es ya de sobra conocido por todos los que trabajamos en el mbito de la seguridad de la informacin, la piedra angular de todo SGSI (Sistema de Gestin de Seguridad de la Informacin) es la realizacin del pertinente anlisis de los riesgos asociados a nuestros activos de informacin. La importancia del Anlisis de Riesgos deriva de que es la herramienta que nos va a permitir identificar las amenazas a las que se encuentran expuestos dichos activos, estimar la frecuencia de materializacin de tales amenazas y valorar el impacto que supondra en nuestra Organizacin esa materializacin. En el campo del Anlisis de Riesgos, en Espaa tenemos un referente indiscutible cuando nos planteamos la metodologa a seguir. Si, ese referente es MAGERIT: Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin. Actualmente por la versin 2.0, goza de una excelente salud y est reconocida por ENISA (European Network and Information Security Agency) junto a otras metodologas europeas e internacionales. Es una metodologa de carcter pblico elaborada por el Consejo Superior de Administracin Electrnica (CSAE), rgano del Ministerio de Administraciones Pblicas (MAP) encargado de la preparacin, elaboracin, desarrollo y aplicacin de la poltica informtica del Gobierno Espaol. Si hasta ahora este reinado de MAGERIT ha sido indiscutible -con la interesante excepcin de aquellos profesionales que han decidido elaborar sus propias metodologas por considerar que se adaptaban mejor a sus organizaciones- desde hace relativamente poco tiempo disponemos de un competidor de peso. Este nuevo actor en la escena del Anlisis de Riesgos es, como ya muchos se habrn imaginado, el estndar internacional ISO/IEC 27005:2008, titulado Information technology Security techniques Information security risk management. ISO 27005 derog las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000, y proporciona desde su publicacin en Junio del pasado ao 2008, un conjunto de directrices para la correcta realizacin de un Anlisis de Riesgos. Sealar, no obstante, que ISO 27005 no proporciona una metodologa concreta de Anlisis de Riesgos, sino que describe a travs de su clausulado el proceso recomendado de anlisis incluyendo las fases que lo conforman: Establecimiento del contexto (Clusula 7) Evaluacin del riesgo (Clusula 8) Tratamiento del riesgo (Clusula 9) Aceptacin del riesgo (Clusula 10) Comunicacin del riesgo (Clusula 11) Monitorizacin y revisin del riesgo (Clusula 12)

En pocas palabras, la norma nos sirve para no tener dudas sobre los elementos que debe incluir toda buena metodologa de Anlisis de Riesgos, por lo que, visto desde este punto de vista puede constituirse como una metodologa en si misma. Adems, el estndar incluye seis Anexos (A-F) de carcter informativo y no normativo, con orientaciones que van desde la identificacin de activos e impactos, ejemplos de vulnerabilidades y sus amenazas asociadas, hasta distintas aproximaciones para el anlisis distinguiendo entre anlisis de riesgos de alto nivel y anlisis detallado. Pero con que argumentos cuenta ISO 27005 frente a MAGERIT u otras metodologas existentes? Pues la verdad es que existe una divisin palpable en el sector, incluso a nivel europeo (en este caso, lgicamente,

1/2

comparando el estndar ISO frente a las metodologas propias de cada pas). Por una parte, estn aquellos que han acogido al nuevo estndar con gran entusiasmo, entendiendo que supone la oficializacin a nivel internacional de los requisitos que ha de cumplir una metodologa de Anlisis de Riesgos, y que por tanto aporta claridad a un mbito que seguramente estaba necesitndola. Esta postura es frecuente entre quienes se dedican a la implantacin de Sistemas de Gestin bajo ISO 27001 la referencia absoluta en gestin de la seguridad, ya que ISO 27005 ha nacido claramente para apoyar la tarea del anlisis y la gestin de riesgos en el marco de un SGSI. En el lado contrario encontramos a quienes no terminan de ver la aportacin de este estndar para los profesionales del anlisis de riesgos, habida cuenta las numerosas metodologas existentes. Desde estas posiciones, ms puristas de la gestin de riesgos, la crtica se centra en sealar que el nuevo estndar no se adentra realmente en la gestin de los mismos, sino que se queda en un mero marco declarativo de determinados riesgos, y que dicho marco se enlaza con un ciclo PDCA (Plan, Do, Check, Act) con el fin de revisar dichos riesgos. Los crticos con ISO 27005 aaden otro aspecto que no termina de convencerles, y es precisamente esa subordinacin para ellos sin duda excesiva del estndar hacia el SGSI. Consideran que no es admisible la declaracin que se hace en la subclusula 7.1 de la norma, que cita como finalidades del Anlisis de Riesgos, entre otras, el apoyo a un SGSI. Esta declaracin es puesta en entredicho argumentando que en realidad la implementacin de un SGSI es consecuencia de un anlisis de riesgos previo, y no al revs. No parece desenfocada en absoluto esta ltima opinin, ya que precisamente el SGSI tiene como finalidad, y valga en este caso la redundancia, gestionar la Seguridad de la Informacin siempre desde el punto de partida que supone el Anlisis de Riesgos. Al margen de controversias, que no tienen por qu ser estriles, lo cierto es que desde hace poco ms de un ao los profesionales que nos dedicamos a la Seguridad de la Informacin disponemos de un nuevo apoyo para esa difcil y crucial tarea que es el Anlisis y la Gestin de Riesgos de los activos de informacin en las organizaciones. Tarea que, hay que decirlo, necesita de cuantas ms aportaciones, mejor. Entre esas aportaciones cabe destacar por parte espaola la publicacin un mes despus de que lo hiciera ISO 27005, de una en este caso si- metodologa de Anlisis de Riesgos bajo la forma de norma UNE. Nos referimos, claro est, a la UNE 71504, de la que sin duda ser interesante hablar en otra ocasin y compararla con ese referente indiscutible en Espaa que es MAGERIT.

2/2