Saltear al contenido principal
ISO 27005

ISO 27005: Análisis de Riesgos

ISO 27005

ISO 27005

Ya de sobra es conocido por todos los trabajadores en el mundo de la seguridad de la información, que la piedra angular de todo Sistema de Gestión de Seguridad de la Información (SGSI) es la realización del análisis de todos los riesgos asociados a los activos de información.

La importancia del análisis de riesgos según ISO 27005 proviene de que es una herramienta que nos permite identificar las amenazas a las que se encuentran expuestos todos los activos, se estima la frecuencia en la que se materializan todas las amenazas y valora el impacto que supone que se materialice en nuestra organización.

 

El referente del Análisis de Riesgos ISO 27005, es MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información).  Existen profesionales que han decidido elaborar sus propias metodologías por considerar que se adaptan mejor a sus empresas. El estándar internacional ISO 27005 es la norma utilizada para el análisis de riesgos.

La norma ISO 27001 derogó a las normas ISO TR 13335-3 e ISO 13335-4 y proporciona un enorme conjunto de directrices para la correcta realización de un análisis de riesgos.

Debemos señalar que la norma ISO 27005 no proporciona la metodología concreta para el análisis de riesgos, sino que describe en forma de cláusulas el proceso que se recomienda seguir para analizar el riesgo, en las cuales se incluyen las fases que lo conforman:

  • Cláusula 7: Establecer el contexto
  • Cláusula 8: Evaluación del riesgo
  • Cláusula 9: Tratamiento del riesgo
  • Cláusula 10: Aceptar el riesgo
  • Cláusula 11: Comunicar el riesgo
  • Cláusula 12: Monitorizar y revisar el riesgo

La norma ISO 27005 nos sirve para no tener dudas sobre los diferentes elementos que debe incluir toda la metodología de análisis de riesgos, por lo que si lo vemos desde este punto de vista se puede constituir como una metodología en sí misma.

El estándar incluye 6 anexos diferentes que van desde la A hasta la F, son de carácter informativo y no normativo, presenta orientación para realizar la identificación de activos e impactos, ciertos ejemplos de vulnerabilidad y las amenazas que se pueden asociar, hasta diferentes aproximaciones para realizar el análisis se distingue entre análisis de riesgos de alto nivel y análisis detallado.

Pero debemos saber con qué argumento cuenta la norma ISO 27005 frente a otras metodologías existentes, como puede ser MAGERIT. Existe una división bastante visible en el sector, incluso a nivel europeo.

También existen las organizaciones que deciden escoger la norma ISO 27005 con un gran entusiasmo, entendiendo que supone que se oficialice a nivel internacional todos los requisitos que ha de cumplir con la metodología que se incluye en el Análisis de Riesgo y que, por lo tanto, aporta suficiente claridad dentro de este ámbito que seguramente es necesario.

Es una postura frecuente entre quienes se dedican a la implementación de Sistemas de Gestión bajo la ISO 27001, ya que la norma ISO 27005 ha nacido para poder apoyar la tarea de análisis y gestión del riesgo dentro de un Sistema de Gestión de Seguridad de la Información.

Podemos encontrar personas que no terminan de ver la aportación que genera el estándar para los profesionales del análisis de riesgos, existen cuentas con muchas metodologías existentes. Desde estas posiciones, que no creen en la norma ISO 27005, la crítica se centra en señalar que el estándar ISO 27005 no se adentra de forma real en la gestión de los riesgos, sino que se queda en un mero marco declarativo de determinados riesgos, y que dicho marco de referencia se enlaza con el ciclo Deming o ciclo PHVA (Planificar-Hacer-Verificar-Actuar) con el fin de revisar ciertos riesgos.

Las personas que critican la norma ISO 27005 añaden algo más por lo que no termina de convencerles, y es precisamente la subordinación que presenta el estándar hacia el Sistema de Gestión de Seguridad de la Información. Se considera que no es admisible la declaración que se hace en una cláusula de la norma ISO 27005, en la que se cita la finalidad del Análisis de Riesgos, es decir, el apoyo al Sistema de Gestión de Seguridad de la Información.  Dicha declaración se pone entredicho argumentando que la realidad de la implantación de un Sistema de Gestión de Seguridad de la Información es el resultado de un análisis de riesgos previo, y no al revés. No parece que la opinión sea muy descabellada, ya que el SGSI tiene como finalidad, valga la redundancia, gestionar la Seguridad de la Información desde el punto de vista  que supone el Análisis de Riesgos.

Como existen controversias, lo mejor es que desde hace más de un año las personas que se dedican a implementar los SGSI disponen de un nuevo apoyo para la difícil tarea de realizar el Análisis de Riesgos de los activos de información sensibles para las empresas. Además, cuanto más aportaciones se tengan mucho mejor.

Software para ISO 27001

El Software ISOTools Excellence para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.

¿Desea saber más?

Entradas relacionadas

Volver arriba