Conocer las vulnerabilidades de un sistema de información es necesario, pero no suficiente. Para protegerse eficazmente, se necesita una visión completa de la situación de riesgo: vulnerabilidades, medidas, amenazas e impactos. Esta visión completa la proporcionan los métodos de análisis de riesgos y evaluación de la seguridad. La base metodológica mundial en este campo gira en torno a las normas ISO2700x: ISO27001, ISO27002 e ISO27005.

EGERIE utiliza los siguientes métodos normalizados de análisis de riesgos.

NORMAS

LA NORMA ISO27001

EGERIE también apoya el despliegue de un enfoque ISO 27001 a través de su solución Risk Manager.

La norma ISO 27001 describe el desarrollo de un SGSI (Sistema de Gestión de la Seguridad de la Información) como un proceso, del mismo modo que la norma ISO 9001 describe el proceso de calidad. ISO27001, al igual que ISO9001, se basa en el modelo clásico «Planificar-Hacer-Verificar-Actuar» (PDCA). Este modelo nos recuerda que la seguridad es un proceso iterativo que incluye sucesivamente la preparación y planificación del SGSI. Además, ISO27001 refleja los principios de las directrices de la OCDE que rigen la seguridad de los sistemas y redes de información. La certificación ISO27001 verifica que el SGSI satisface las necesidades de seguridad de la empresa. La certificación la realiza un auditor acreditado. Basándose en el SGSI, el auditor comprueba que la selección de contramedidas es adecuada y se ha documentado tras un análisis formal de riesgos; también comprueba que las contramedidas se han implantado correcta y completamente. Corresponde al auditor juzgar la validez de la aplicación de la norma y la idoneidad de las contramedidas.

NORMAS ISO27005 Y ISO27002

La norma ISO27005 describe las grandes líneas de la gestión de riesgos con vistas a la creación de un sistema de gestión de la seguridad de la información. Construida en coherencia con las normas ISO27001 e ISO27002 y utilizando el vocabulario definido en la norma ISO27000, la norma ISO27005 es la norma de referencia para realizar un análisis de ciberriesgos y poner en marcha un proceso de gestión de riesgos basado en un sistema de gestión fundado en la lógica PDCA (Planificar, Hacer, Comprobar, Actuar) de mejora continua:

Además de la norma ISO27005, la norma ISO27002 ofrece una serie de «buenas prácticas» en materia de seguridad. Las buenas prácticas empresariales permiten a las empresas reaccionar con eficacia y rapidez ante cualquier circunstancia sin tener que reinventar desde cero los principios de seguridad y las soluciones técnicas

MÉTODOS

EL MÉTODO EBIOS RISK MANAGER (2018)

EBIOS Risk Manager es el método de evaluación y tratamiento de los riesgos digitales publicado por la Agence Nationale de la Sécurité et des Systèmes d’Information (ANSSI) con el apoyo del Club EBIOS.

EBIOS Risk Manager permite identificar y evaluar los riesgos y determinar las medidas de seguridad necesarias para hacerles frente. Además, permite validar el nivel de riesgo aceptado y, a largo plazo, adoptar un enfoque de mejora continua. Por último, proporciona los elementos necesarios para la comunicación y la toma de decisiones dentro de la organización y con sus socios.

  • Implantar o reforzar un proceso de gestión de riesgos digitales en una organización
  • Evaluar y tratar los riesgos relacionados con un proyecto digital, en particular con vistas a la certificación de la seguridad
  • Definir el nivel de seguridad que debe alcanzarse para un producto o servicio en función de su uso previsto y de los riesgos que deben contrarrestarse, con vistas a una certificación o acreditación, por ejemplo

EL MÉTODO EBIOS

EGERIE Risk Manager es compatible con todas las versiones del método EBIOS (V2, 2010 y la futura versión actualmente en desarrollo). El método EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité – Expresión de las Necesidades e Identificación de los Objetivos de Seguridad) se utiliza para evaluar y tratar los riesgos relativos a la seguridad de los sistemas de información (SSI). También permite comunicar los riesgos dentro de la organización y a sus socios, contribuyendo así al proceso de gestión de riesgos de los SI. Creado en 1995 por la ANSSI y actualizado periódicamente, el método EBIOS se beneficia de 15 años de experiencia en el ámbito de la gestión de riesgos.

EL MÉTODO MEHARI

MEHARI, propuesto por CLUSIF, es un método de análisis de riesgos que tiene en cuenta tanto los aspectos organizativos como técnicos de la seguridad informática. MEHARI permite llevar a cabo una auditoría de seguridad que conduce a una evaluación de los niveles de riesgo en una serie de áreas: organización general, seguridad física, seguridad lógica, seguridad de las aplicaciones, etc. Esta evaluación se utiliza para seleccionar las medidas de seguridad que cierren las brechas de la mejor manera posible, es decir, que igualen los niveles de riesgo en las distintas áreas a un nivel uniforme y aceptable.

EL MÉTODO CRAMM

ElCRAMM es un método de gestión de riesgos impuesto por el gobierno británico. Este método es exhaustivo (más de 3.000 puntos de control) y, por tanto, sólo se adapta a las grandes empresas (hay 550 clientes en todo el mundo). Tras la creación de la versión 2002 de BS7799-2, Siemens (antes Insight Consulting) ha creado una nueva versión (CRAMM Versión 5) que también aspira a la certificación BS7799.

CONFORMIDAD Y DIRECTIVAS

CUMPLIMIENTO DE LPM PARA IVES

EGERIE permite a los fabricantes y a las autoridades de defensa elaborar los documentos necesarios e indispensables para el proceso de homologación de seguridad.

LA DIRECTIVA NIS

La Directiva sobre la seguridad de las redes y los sistemas de información (NIS) tiene como objetivo garantizar un nivel de seguridad elevado y común para las redes y los sistemas de información en la Unión Europea. Fue adoptada el 6 de julio de 2016. La (NIS) tiene como objetivo establecer una cooperación europea eficaz y la protección de las actividades económicas y sociales críticas, para hacer frente colectivamente a los riesgos de ataques cibernéticos.

REGLAMENTOS

EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPPD)

El Reglamento General de Protección de Datos (RGPD) es un texto normativo europeo que regula el tratamiento de datos en igualdad de condiciones en toda la Unión Europea. Entró en vigor el 25 de mayo de 2018. El RGPD es la continuación de la Ley francesa de Protección de Datos de 1978, que estableció normas para la recopilación y el uso de datos en Francia. Se ha diseñado en torno a 3 objetivos:

Formación
Cuéntenos su proyecto de formación, estamos aquí para orientarle.