Análisis de Riesgos: ISO 27005 vs magerit y otras metodologías

Como es ya de sobra conocido por todos los que trabajamos en el ámbito de la seguridad de la información, la piedra angular de todo SGSI (Sistema de Gestión de Seguridad de la Información) es la realización del pertinente análisis de los riesgos asociados a nuestros activos de información.

La importancia del Análisis de Riesgos deriva de que es la herramienta que nos va a permitir identificar las amenazas a las que se encuentran expuestos dichos activos, estimar la frecuencia de materialización de tales amenazas y valorar el impacto que supondría en nuestra Organización esa materialización.

En el campo del Análisis de Riesgos, en España tenemos un referente indiscutible cuando nos planteamos la metodología a seguir. Si, ese referente es MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Actualmente por la versión 2.0, goza de una excelente salud y está reconocida por ENISA (European Network and Information Security Agency) junto a otras metodologías europeas e internacionales. Es una metodología de carácter público elaborada por el Consejo Superior de Administración Electrónica (CSAE), órgano del Ministerio de Administraciones Públicas (MAP) encargado de la preparación, elaboración, desarrollo y aplicación de la política informática del Gobierno Español.

Si hasta ahora este reinado de MAGERIT ha sido indiscutible -con la interesante excepción de aquellos profesionales que han decidido elaborar sus “propias” metodologías por considerar que se adaptaban mejor a sus organizaciones- desde hace relativamente poco tiempo disponemos de un competidor de peso. Este nuevo actor en la escena del Análisis de Riesgos es, como ya muchos se habrán imaginado, el estándar internacional ISO/IEC 27005:2008, titulado Information technology – Security techniques – Information security risk management.

ISO 27005 “derogó” las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000, y proporciona desde su publicación en Junio del pasado año 2008, un conjunto de directrices para la correcta realización de un Análisis de Riesgos.

Señalar, no obstante, que ISO 27005 no proporciona una metodología concreta de Análisis de Riesgos, sino que describe a través de su clausulado el proceso recomendado de análisis incluyendo las fases que lo conforman:

•    Establecimiento del contexto (Cláusula 7)
•    Evaluación del riesgo (Cláusula 8 )
•    Tratamiento del riesgo (Cláusula 9)
•    Aceptación del riesgo (Cláusula 10)
•    Comunicación del riesgo (Cláusula 11)
•    Monitorización y revisión del riesgo (Cláusula 12)

En pocas palabras, la norma nos sirve para no tener dudas sobre los elementos que debe incluir toda buena metodología de Análisis de Riesgos, por lo que, visto desde este punto de vista puede constituirse como una metodología en si misma.

Además, el estándar incluye seis Anexos (A-F) de carácter informativo y no normativo, con orientaciones que van desde la identificación de activos e impactos, ejemplos de vulnerabilidades y sus amenazas asociadas, hasta distintas aproximaciones para el análisis distinguiendo entre análisis de riesgos de alto nivel y análisis detallado.

Pero ¿con que argumentos cuenta ISO 27005 frente a MAGERIT u otras metodologías existentes? Pues la verdad es que existe una división palpable en el sector, incluso a nivel europeo (en este caso, lógicamente, comparando el estándar ISO frente a las metodologías propias de cada país).

Por una parte, están aquellos que han acogido al nuevo estándar con gran entusiasmo, entendiendo que supone la oficialización a nivel internacional de los requisitos que ha de cumplir una metodología de Análisis de Riesgos, y que por tanto aporta claridad a un ámbito que seguramente estaba necesitándola. Esta postura es frecuente entre quienes se dedican a la implantación de Sistemas de Gestión bajo ISO 27001 –la referencia absoluta en gestión de la seguridad–, ya que ISO 27005 ha nacido claramente para apoyar la tarea del análisis y la gestión de riesgos en el marco de un SGSI.

En el lado contrario encontramos a quienes no terminan de ver la aportación de este estándar para los profesionales del análisis de riesgos, habida cuenta las numerosas metodologías existentes. Desde estas posiciones, más puristas de la gestión de riesgos, la crítica se centra en señalar que el nuevo estándar no se adentra realmente en la gestión de los mismos, sino que se queda en un mero marco declarativo de determinados riesgos, y que dicho marco se enlaza con un ciclo PDCA (Plan, Do, Check, Act) con el fin de revisar dichos riesgos.

Los críticos con ISO 27005 añaden otro aspecto que no termina de convencerles, y es precisamente esa subordinación –para ellos sin duda excesiva– del estándar hacia el SGSI. Consideran que no es admisible la declaración que se hace en la subcláusula 7.1 de la norma, que cita como finalidades del Análisis de Riesgos, entre otras, el apoyo a un SGSI. Esta declaración es puesta en entredicho argumentando que en realidad la implementación de un SGSI es consecuencia de un análisis de riesgos previo, y no al revés. No parece desenfocada en absoluto esta última opinión, ya que precisamente el SGSI tiene como finalidad, y valga en este caso la redundancia, gestionar la Seguridad de la Información siempre desde el punto de partida que supone el Análisis de Riesgos.  

Al margen de controversias, que no tienen por qué ser estériles, lo cierto es que desde hace poco más de un año los profesionales que nos dedicamos a la Seguridad de la Información disponemos de un nuevo apoyo para esa difícil y crucial tarea que es el Análisis y la Gestión de Riesgos de los activos de información en las organizaciones. Tarea que, hay que decirlo, necesita de cuantas más aportaciones, mejor.

Entre esas aportaciones cabe destacar por parte española la publicación un mes después de que lo hiciera ISO 27005, de una –en este caso si- metodología de Análisis de Riesgos bajo la forma de norma UNE. Nos referimos, claro está, a la UNE 71504, de la que sin duda será interesante hablar en otra ocasión y compararla con ese referente indiscutible en España que es MAGERIT.

Autor: Manuel Díaz

Áudea Seguridad de la Información
www.audea.com