12 noviembre 2008

Metodologias de Analisis de Riesgos

Hoy simplemente quiero hacer un repaso de las distintas metodologías específicas de análisis y/o gestión de riesgos que existen actualmente. No va a ser una lista exhaustiva, pero creo que servirá para la reflexión.


En primer lugar tenemos las normas que versan sobre el análisis de riesgos. Entre las más conocidas podemos encontrar:
  • AS/NZS 4360:2004: Norma australiana para la gestión de riesgos (en general).
  • BS7799-3:2006: Norma británica para la gestión de los riesgos de seguridad de la información.
  • ISO/IEC 27005:2008: Norma internacional sobre la gestión de los riesgos de seguridad de la información. Distinta a la anterior, aunque también sirve para dar cumplimiento a la ISO 27001.
  • UNE 71504:2008: Norma española que recoge una metodología de análisis y gestión de riesgos para los sistemas de información. No es equivalente a las anteriores, ya que esas eran para seguridad de la información.

Pero no sólo disponemos de normas de análisis de riesgos, también existen metodologías ampliamente reconocidas y de uso generalizado. Las principales son:

  • MAGERIT, metodología española de análisis y gestión de riesgos para los sistemas de información, promovida por el MAP y diferente a la UNE 71504.
  • EBIOS, metodología francesa de análisis y gestión de riesgos de seguridad de sistemas de información.
  • CRAMM, metodología de análisis y gestión de riesgos desarrollada por el CCTA inglés.
  • OCTAVE, metodología de evaluación de riesgos desarrollada por el SEI (Software Engineering Institute) de la Carnegie Mellon University.
Y no son las únicas. Para el que quiera conocer alguna más, tanto en la web de ENISA como en la web de ISO27000.es podéis encontrar más información sobre metodologías de análisis de riesgos.

En definitiva, existe una gran variedad de metodologías, muchas de ellas con reconocimiento internacional, pero lamentablemente todas distintas. Es cierto que, como metodologías de análisis de riesgos que son, todas se parecen, pero no se puede decir que sean compatibles de entrada. Cada una tiene sus particularidades, sus puntos fuertes... y será trabajo de quien quiera utilizarlas el saber sacar lo mejor de cada una de ellas.

3 comentarios:

Anónimo dijo...
Este comentario ha sido eliminado por un administrador del blog.
Anónimo dijo...

Hola, interesante.. Qué me dices de BASILEA II??

Tendras algo sobre comparaciones entre las metodologias?

Joseba Enjuto dijo...

Buenas tardes,

Hasta lo que yo sé, Basilea II no es una metodología de análisis de riesgos, sino una regulación específica del sector financiero.

En cuanto a comparativas, la verdad es que no conozco ninguna comparativa específica. Me temo que todas se parecen tanto, y a la vez tienen matices tan particulares, que el esfuerzo que requiere hacer una comparativa seria es excesivo, dadas sus similitudes.