Metodologías de gestión de riesgos
Características principales
Para ayudarnos a guiar el proceso de gestión de riesgos con mayores garantías de alcanzar los objetivos deseados aparecen distintas metodologías.
Nota
Metodología de gestión de riesgos: conjunto de procesos y técnicas utilizadas para identificar, evaluar y mitigar los riesgos que puedan afectar a una organización o proyecto.
Saber más
La metodología de gestión de riesgos es esencial para garantizar la continuidad de la operación de la organización y maximizar la probabilidad de éxito y de consecución de sus objetivos
VÍDEO
La gestión de riesgos es el proceso de identificar, analizar y evaluar los riesgos potenciales que pueden afectar a una organización e implementar las medidas preventivas y de mitigación oportunas.
Vídeo referenciado: A4C41B1V02
Todas las metodologías de gestión de riesgos deberían incluir además de las fases ya comentadas (identificación, valoración y priorización de los riesgos) las de: planificación e implementación de la respuesta, monitorización continua de la evolución de los riesgos y reporte de estos a todas las personas interesadas.
Hay que tener en cuenta que existen distintas metodologías de gestión de riesgos y cada una de ellas puede ser más adecuada para ciertas industrias o para distintas tipologías de riesgos como pueden ser riesgos financieros, operacionales, estratégicos, legales, etc.
Dado que la temática relacionada con esta formación es la seguridad de la información se van a revisar las siguientes metodologías que se utilizan en este marco:
- ISO 27005 (e.digitall.org.es/iso27005)
- Magerit (e.digitall.org.es/magerit)
- OCTAVE (e.digitall.org.es/octave)
- NIST SP 800-30 (e.digitall.org.es/nistsp800-30)
- FAIR (fairinstitute.org/learn-fair)
ISO 27005
La ISO 27005 es una norma internacional desarrollada por la Organización Internacional de Normalización (ISO) revisada por última vez en el año 2018.
Las principales características de la ISO 27005 son su enfoque basado en el riesgo, su adaptabilidad a diferentes tipos de organizaciones, su estructura clara y fácil de seguir, y su capacidad para integrarse con otras normas de seguridad de la información como la ISO 27001.
Incluye diferentes herramientas como las matrices de riesgo, las listas de control, las entrevistas con expertos y los análisis estadísticos.
Magerit
MAGERITv3 es una metodología que se utiliza en España desarrollada por el antiguo Consejo Superior de Administración Electrónica de España.
Como puntos fuertes de la metodología MAGERIT podemos destacar su catálogo de elementos que marca pautas con respecto a tipos de activos, dimensiones de valoración, criterios de valoración, amenazas típicas y salvaguardas. Se debería destacar también su guía de técnicas que proporcionan una orientación de cómo llevar a cabo proyectos de análisis y gestión de riesgos.
Octave
Octave (Operationally Critical Threat, Asset, and Vulnerability Evaluation) es una metodología del Software Engineering Institute (SEI) de la Universidad Carnegie Mellon. La última versión disponible es Octave Allegro, que se lanzó en 2012.
Los puntos fuertes de la metodología Octave incluyen un enfoque centrado en los procesos de negocio de la organización y como la información se utiliza en ellos, un proceso estructurado, un enfoque colaborativo de equipo y un alto grado de personalización.
Existen herramientas especializadas para facilitar el proceso de gestión de riesgos, como el software OCTAVE Allegro desarrollado por el SEI.
NIST SP 800-30
El NIST SP 800-30 es una guía desarrollada por el National Institute of Standards and Technology (NIST) de Estados Unidos, siendo la última revisión de septiembre de 2021.
Las características fundamentales o puntos fuertes del NIST SP 800-30 son su estructura, de 4 fases (preparación, evaluación, mitigación y comunicación), su adaptabilidad a las necesidades específicas de cualquier organización y su origen basándose en estándares y mejores prácticas de la industria.
Es importante destacar que el NIST SP 800-30 es una guía de gestión de riesgos y no prescribe herramientas específicas para su implementación.
FAIR
FAIR (Factor Analysis of Information Risk) es un modelo desarrollado por el Open Group en 2006. La revisión actual es la 3.0 publicada en Abril de 2019.
Es un modelo cuantitativo que utiliza técnicas de análisis de datos y estadística para medir la probabilidad y el impacto financiero de un riesgo de seguridad de la información. FAIR se basa en un enfoque bottom-up, que permite una evaluación precisa y objetiva del riesgo a nivel de activos de información específicos. Es importante destacar que se integra fácilmente con otras metodologías y marcos de ciberseguridad, como NIST o ISO.
Para implementar FAIR, existen diversas herramientas que permiten realizar la evaluación cuantitativa de los riesgos de seguridad de la información, tales como RiskLens, FAIR-U y Open Fair.
PILAR
Se dedica un apartado especial a la herramienta Plataforma Integrada de Análisis y Gestión de Riesgos (PILAR) (e.digitall.org.es/pilar) desarrollada por el Centro Criptológico Nacional (CCN).
Es una herramienta gratuita y de acceso restringido, cuya utilización está sujeta a la previa solicitud y autorización por parte del CCN-CERT.
PILAR está diseñada para ayudar a las organizaciones a identificar, evaluar y gestionar los riesgos de seguridad de la información de manera efectiva, siguiendo tanto la metodología MAGERIT como la metodología ISO. Entre las principales características de esta herramienta se encuentran su capacidad para realizar evaluaciones de riesgos tanto cualitativas como cuantitativas, su flexibilidad para adaptarse a diferentes tipos de organizaciones y su capacidad para generar informes detallados de los resultados de las evaluaciones.
Esta herramienta es una de las más utilizadas en España para la gestión de riesgos de seguridad de la información y es ampliamente reconocida por su fiabilidad y precisión en la evaluación de riesgos.