Español | English
rss facebook linkedin Twitter

Metodología de análisis de riesgos para abordar una certificación ISO/IEC 27001

El proceso de certificación de un Sistema de Gestión de Seguridad de la Información ISO/IEC 27001 requiere la elaboración de un Análisis de Riesgos como medio de diseñar el Plan de Gestión de Riesgos del sistema, e identificar la aplicabilidad de los controles a implantar en una organización.

Por el momento la familia de las 27001 no nos ha dotado de un método para la elaboración del análisis de riesgos, dicho método será la futura ISO/IEC 27005 de la que por el momento solamente tenemos un draft mientras que el estándar será publicado previsiblemente en 2009.

Debido a la ausencia de metodología propia para la certificación ISO/IEC 27001 nos encontramos con la duda de qué metodología emplear, debido a sus diferentes funcionalidades, a las herramientas en las que se soporta, a los estándares y normativas a las que da conformidad, la metodología idónea parece ser MAGERIT II.

Objetivos de MAGERIT II

MAGERIT; persigue los siguientes objetivos:
  1. Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo
  2. Ofrecer un método sistemático para analizar tales riesgos
  3. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control
  4. Apoyar la preparación a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso
¿Porque MAGERIT II?

El análisis de riesgos propuesto por MAGERIT II es una aproximación metódica que permite determinar el riesgo siguiendo unos pasos:
  • Determinar los activos relevantes para la Organización
  • Determinar a que amenazas están expuestos aquellos activos
  • Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza.
  • Valorar dichos activos en función del coste que supondría para la Organización recuperarse ante un problema de disponibilidad, integridad, confidencialidad o autenticidad
  • Valorar las amenazas potenciales.
  • Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectación de materialización) de la amenaza.

El método propuesto por MAGERIT II da cumplimiento en lo establecido en la ISO 13335, en el epígrafe 4.2.1.d Identificar Riesgos, 4.2.1.e Analizar y evaluar riesgos de la ISO /IEC 27001:2005 , y además garantiza conformidad respecto los estándares:
  • ISO/IEC 27001 / 2005 “Sistemas de Gestión de Seguridad de la Información”
  • ISO/IEC 15408 / 2005 “Criterios de Evaluación de Seguridad de la Información”
  • ISO/IEC 17799 / 2005 “ Manual de Buenas Prácticas de Gestión de Seguridad de la Información”
  • ISO/IEC 13335 / 2004 “Guía para la Gestión de Seguridad TI”
Comparativa con otras metodologías de análisis de riesgos:


http://www.enisa.europa.eu/rmra/rm_ra_tools.html

En la comparativa de las diferentes metodologías y herramientas de análisis de riesgos se puede concluir que MAGERIT II es el método ideal por las siguientes razones:
  1. Por estar impulsado por el Consejo Superior de Administración Electrónica.
  2. Por ser un método desarrollado en su integridad en castellano.
  3. Por tener la herramienta de gestión de Análisis de Riesgos EAR/PILAR mantenida y actualizada
  4. Por dar conformidad a los estándares internacionales y a la normativa de protección de datos.
  5. Por dar conformidad a la ISO/IEC 27002:2005
  6. Por contar con el perfil para dar conformidad al RD 1720/2007 de desarrollo del Art. 9 de la Ley Orgánica de Protección de Datos 15/1999, en versión beta
  7. Por su próxima incorporación de los perfiles Sarbanes Oxley y a Cobit 4.1
David Imizcoz Etxeberria
Manager de Consultoría S21sec


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login