UNIVERSIDAD CENTROCCIDENTAL

“LISANDRO ALVARADO”.
DECANATO DE CIENCIAS Y TECNOLOGÍA.
COORDINACIÓN DE FOMENTO DEL DCYT
DIPLOMADO SEGURIDAD DE LA INFORMACIÓN

Análisis Comparativo: Metodologías de la gestión

de riesgos

Participante: Iliana Sánchez

Enero, 2016
 INTRODUCCIÓN

En la actualidad cualquier empresa tiene Riesgos Informáticos, que pueden afectar su

funcionamiento y una forma, que se utiliza para brindar continuidad al negocio y prevenir
desastres de cualquier tipo en una empresa es el de realizar una Evaluación de Riesgos
Informáticos. Esta evaluación se puede llevar a cabo de forma cualitativa, semicualitativa y
cuantitativa utilizando metodologías de gestión de riesgos.
En éste trabajo se presenta el análisis comparativo de cuatro metodologías, con el fin de
conocer y analizar las metodologías de gestión de riesgos. Las metodologías estudiadas son: ISO
3100, Magerit, ISO 27005 y Mehari. La mayoría de ellas constan de documentos que desarrollan
los conceptos necesarios y luego se especifican los pasos a ser llevados a cabo para realizar el
relevamiento completo. Algunas de ellas también disponen de planillas, matrices, tableros y
reportes de ejemplos que pueden utilizarse como base.
 CUADRO COMPARATIVO DE METODOLOGÍAS DE GESTIÓN DE RIESGOS
Metodologías ISO 3100 MAGERIT ISO 27005 MAHERI
Criterios
Organización Consejo Comité Técnico Conjunto Comisión de métodos de Clusif
Desarrollada por

Internacional para la Superior de ISO/ IEC JTC 1, (Club Francés de la Seguridad de

Estandarización ISO y el Administración Tecnología de la la Información)
Comité de Normas de Electrónica de España información
Australia / Nueva Zelanda. , Subcomité SC 27,
Técnicas de seguridad en la
tecnología de la información.

Se puede aplicar a Estudia los riesgos que La norma suministra las Proporciona un método para la
cualquier empresa, no es soporta un sistema de directrices para la gestión evaluación y gestión de riesgos,
específica de una información y el entorno de riesgos de seguridad de concretamente en el dominio de
Ámbito de
aplicación

industria o sector en asociado a él. la información en una la seguridad de la información

concreto. empresa, apoyando
particularmente los
requisitos del sistema de
gestión de seguridad de la
información
 Metodologías ISO 3100 MAGERIT ISO 27005 MAHERI
Criterios

Integra el proceso de Permite concientizar a los Proporciona una guía para Se basa en los requerimientos de
gestión de riesgos en el responsables de los la gestión del riesgo en un la ISO/IEC 27005 :2008,
gobierno corporativo de la sistemas de información sistema de seguridad de la proporcionando el conjunto de
organización, planificación de la existencia de riesgos información. herramientas y elementos
y estrategia, gestión, y de la necesidad de Soporta los conceptos necesarios para su
procesos de información, atajarlos a tiempo. definidos en la ISO/IEC implementación.
políticas, valores y cultura Ofrece un método 27001 y está diseñado para Metodología diseñada para
puede ser aplicada a lo sistemático para analizar ayudar a la realizar un análisis directo e
largo de la vida de una tales riesgos. implementación de un individual de situaciones de
organización, así como Ayuda a descubrir y sistema de seguridad de la riesgos descritas a través de
Características

una variada gama de planificar las medidas información basado en la escenarios.

actividades, incluidas las oportunas para mantener gestión del riesgo. Incluye la clasificación de los
estrategias y de los riesgos bajo control. activos, la probabilidad de las
decisiones, operaciones, Prepara a la Organización amenazas, medidas de
procesos, funciones, para procesos de vulnerabilidades a través de la
proyectos, productos, evaluación, auditoría, auditoria.
servicios y activos. certificación o Basa su análisis en
Se puede aplicar a acreditación, según parámetros y fórmulas
cualquier tipo de riesgo, corresponda en cada
cualquiera sea su caso.
naturaleza, causa u Hace uso de tres guías:
origen. Método, Catálogo de
Elementos y Guía de
Técnicas.
 Metodologías ISO 3100 MAGERIT ISO 27005 MAHERI
Criterios

Usa el ciclo Ciclo pdca 1. Análisis de riesgos. a. Establecimiento del Análisis o evaluación de riesgos
contexto (Cláusula 7.) Evaluación de seguridad
1. Los principios de
2. Caracterización de los (Evaluación de vulnerabilidades)
gestión del riesgo.
activos: b. Evaluación del riesgo Análisis de amenazas
2. La marco de trabajo
a. Caracterización de las (Cláusula 8.)
(framework) para la
amenazas
gestión del riesgo.
b. Caracterización de las c. Tratamiento del riesgo a. Establecimiento del contexto
3. El proceso de gestión
salvaguardas (Cláusula 9.) b. Tipología y lista de activos
del riesgo.
c. Estimación del estado principales.
del riesgo d. Aceptación del riesgo c. Análisis de activos: activos de
(Cláusula 10.) respaldo y vulnerabilidades
Fases

3. Gestionar los riesgos intrínsecas.

e. Comunicación del riesgo
(Cláusula 11.)
f. Monitorización y revisión
del riesgo (Cláusula 12.)
d. Daños potenciales: lista de
posibles escenarios de riesgos
e. Análisis de amenazas: eventos
de iniciación, actores, condiciones
específicas.
f. Elementos de reducción de
riesgos: servicios de seguridad
relevantes, beneficios de los
servicios de seguridad.
 Metodologías ISO 3100
Criterios
Proporciona un enfoque
común en favor de otras
normativas
Ventajas
que tratan sobre riesgos
específicos y/o sectores,
no las
sustituye sirve de guía
Esta norma, a diferencia
de otras, no certifica. Su
objetivo es orientar una
práctica eficaz relativa a la
gestión de riesgos
Desventajas
MAGERIT ISO 27005 MAHERI
Ayuda a que las Posee una cláusula completa Usa un modelo de análisis de
decisiones que deban orientada a la monitorización riesgos cualitativo y
tomarse y que tengan y revisión de riesgos. cuantitativo.
que ser validadas por la Posee la fase de aceptación de
dirección estén riesgos, previa su justificación.
fundamentadas y sean Permite un análisis
fácilmente defendibles completo cuantitativo
El hecho de tener que No es una metodología La recomendación de los
traducir de forma directa concreta, sino que nos controles no la incluye dentro del
todas las valoraciones en sirve para no tener dudas análisis de riesgos sino en la
valores económicos hace sobre los elementos que gestión de los riesgos.
que la aplicación de esta debe incluir toda buena La estimación del impacto se
metodología sea metodología de análisis de realiza en el proceso de gestión y
realmente costosa riesgos. evaluación de riesgos.
No detalla la forma de
valorar las amenazas.
No es certificable
No posee herramientas,
técnicas, ni comparativas
de ayuda para su
implementación.
 CONCLUSIONES

Una metodología de análisis de riesgos debe ser sencilla y de fácil comprensión, tanto para
su aplicación como en el mantenimiento, por lo que, debe cumplir un orden cronológico en sus
pasos, es decir, debe ser sistemática y modular. También, debe ser adaptable para usarse en
cualquier entorno.
 BIBLIOGRAFÍA

http://www.welivesecurity.com/la-es/2013/05/14/magerit-metodologia-practica-para-
gestionar-riesgos/

http://www.surlatina.cl/contenidos/archivos_articulos/13-
el%20nuevo%20estandar%20iso%20para%20la%20gestion%20del%20riesgo.pdf

http://sitios.poder-judicial.go.cr/auditoria/documentos/XVI_CLAI-
PARAGUAY_2012/Ricardo_Correa-Beneficios%20de%20la%20ISO%2031000.pdf

https://www.isotools.org/2015/03/06/como-ayuda-la-norma-iso-31000-en-la-gestion-de-
riesgo/

https://seguridadinformaticaufps.wikispaces.com/MAGERIT

http://www.gestiopolis.com/riesgos-sistemas-informacion-iso-27005-vs-magerit-otras-
metodologias/