Como es ya de sobra conocido por todos los que trabajamos en elámbito de la seguridad de la información, la piedra angular de todoSGSI (Sistema de Gestión de Seguridad de la Información) es larealización del pertinente análisis de los riesgos asociados a nuestrosactivos de información.
La importancia del Análisis de Riesgos deriva de que es laherramienta que nos va a permitir identificar las amenazas a las que seencuentran expuestos dichos activos, estimar la frecuencia dematerialización de tales amenazas y valorar el impacto que supondría ennuestra Organización esa materialización.
En el campo del Análisis de Riesgos, en España tenemos un referenteindiscutible cuando nos planteamos la metodología a seguir. Si, esereferente es MAGERIT: Metodología de Análisis y Gestión de Riesgos delos Sistemas de Información. Actualmente por la versión 2.0, goza deuna excelente salud y está reconocida por ENISA (European Network andInformation Security Agency) junto a otras metodologías europeas einternacionales. Es una metodología de carácter público elaborada porel Consejo Superior de Administración Electrónica (CSAE), órgano delMinisterio de Administraciones Públicas (MAP) encargado de lapreparación, elaboración, desarrollo y aplicación de la políticainformática del Gobierno Español.
Si hasta ahora este reinado de MAGERIT ha sido indiscutible -con lainteresante excepción de aquellos profesionales que han decididoelaborar sus “propias” metodologías por considerar que se adaptabanmejor a sus organizaciones- desde hace relativamente poco tiempodisponemos de un competidor de peso. Este nuevo actor en la escena delAnálisis de Riesgos es, como ya muchos se habrán imaginado, el estándarinternacional ISO/IEC 27005:2008, titulado Information technology –Security techniques – Information security risk management.
ISO 27005 “derogó” las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR13335-4:2000, y proporciona desde su publicación en Junio del pasadoaño 2008, un conjunto de directrices para la correcta realización de unAnálisis de Riesgos.
Señalar, no obstante, que ISO 27005 no proporciona una metodologíaconcreta de Análisis de Riesgos, sino que describe a través de suclausulado el proceso recomendado de análisis incluyendo las fases quelo conforman:
- Establecimiento del contexto (Cláusula 7)
- Evaluación del riesgo (Cláusula 8 )
- Tratamiento del riesgo (Cláusula 9)
- Aceptación del riesgo (Cláusula 10)
- Comunicación del riesgo (Cláusula 11)
- Monitorización y revisión del riesgo (Cláusula 12)
En pocas palabras, la norma nos sirve para no tener dudas sobre loselementos que debe incluir toda buena metodología de Análisis deRiesgos, por lo que, visto desde este punto de vista puede constituirsecomo una metodología en si misma.
Además, el estándar incluye seis Anexos (A-F) de carácterinformativo y no normativo, con orientaciones que van desde laidentificación de activos e impactos, ejemplos de vulnerabilidades ysus amenazas asociadas, hasta distintas aproximaciones para el análisisdistinguiendo entre análisis de riesgos de alto nivel y análisisdetallado.
Pero ¿con que argumentos cuenta ISO 27005 frente a MAGERIT u otrasmetodologías existentes? Pues la verdad es que existe una divisiónpalpable en el sector, incluso a nivel europeo (en este caso,lógicamente, comparando el estándar ISO frente a las metodologíaspropias de cada país).
Por una parte, están aquellos que han acogido al nuevo estándar congran entusiasmo, entendiendo que supone la oficialización a nivelinternacional de los requisitos que ha de cumplir una metodología deAnálisis de Riesgos, y que por tanto aporta claridad a un ámbito queseguramente estaba necesitándola. Esta postura es frecuente entrequienes se dedican a la implantación de Sistemas de Gestión bajo ISO27001 –la referencia absoluta en gestión de la seguridad–, ya que ISO27005 ha nacido claramente para apoyar la tarea del análisis y lagestión de riesgos en el marco de un SGSI.
En el lado contrario encontramos a quienes no terminan de ver laaportación de este estándar para los profesionales del análisis deriesgos, habida cuenta las numerosas metodologías existentes. Desdeestas posiciones, más puristas de la gestión de riesgos, la crítica secentra en señalar que el nuevo estándar no se adentra realmente en lagestión de los mismos, sino que se queda en un mero marco declarativode determinados riesgos, y que dicho marco se enlaza con un ciclo PDCA(Plan, Do, Check, Act) con el fin de revisar dichos riesgos.
Los críticos con ISO 27005 añaden otro aspecto que no termina deconvencerles, y es precisamente esa subordinación –para ellos sin dudaexcesiva– del estándar hacia el SGSI. Consideran que no es admisible ladeclaración que se hace en la subcláusula 7.1 de la norma, que citacomo finalidades del Análisis de Riesgos, entre otras, el apoyo a unSGSI. Esta declaración es puesta en entredicho argumentando que enrealidad la implementación de un SGSI es consecuencia de un análisis deriesgos previo, y no al revés. No parece desenfocada en absoluto estaúltima opinión, ya que precisamente el SGSI tiene como finalidad, yvalga en este caso la redundancia, gestionar la Seguridad de laInformación siempre desde el punto de partida que supone el Análisis deRiesgos.
Al margen de controversias, que no tienen por qué ser estériles, locierto es que desde hace poco más de un año los profesionales que nosdedicamos a la Seguridad de la Información disponemos de un nuevo apoyopara esa difícil y crucial tarea que es el Análisis y la Gestión deRiesgos de los activos de información en las organizaciones. Tarea que,hay que decirlo, necesita de cuantas más aportaciones, mejor.
Entre esas aportaciones cabe destacar por parte española lapublicación un mes después de que lo hiciera ISO 27005, de una –en estecaso si- metodología de Análisis de Riesgos bajo la forma de norma UNE.Nos referimos, claro está, a la UNE 71504, de la que sin duda seráinteresante hablar en otra ocasión y compararla con ese referenteindiscutible en España que es MAGERIT.
Autor: Manuel Díaz – Áudea Seguridad de la Información – www.audea.com
Fuente: DelitosInformaticos.com
