Una Buena Metodología de Análisis de Riesgos I

******************************************************
Una buena Metodología de Análisis de Riesgos I
Una buena Metodología de Análisis de Riesgos II
******************************************************

No cabe ninguna duda que el proceso de Gestión del Riesgo es el corazón del SGSI y que si esto no funciona bien, se producirá una falsa sensación de seguridad. Dentro de este proceso, hay un talón de aquiles; La Metodología de Análisis de Riesgos que está, en muchos casos distorsionando la realidad y provocando que la organización se desvíe con respecto a los riesgos más importantes.

Durante el tiempo que llevo Auditando me atrevería a decir que he visto una metodología por cada consultora que realizaba la implantación y es que en esto, como en otras cosas, no hay consenso y eso perjudica claramente la seguridad de la información. Tampoco ayuda el hecho de que la propia norma de referencia ISO 27001 no exponga claramente cuales tienen que ser los requisitos que debe cumplir dicha metodología, encontrándose éstos definidos en ISO 27005 y desvinculados de ISO 27001, que trata este tema en su sección 4.2.1.c de manera algo escueta.

Especificar una metodología de evaluación de riesgos adecuada para el SGSI, las necesidades de negocio identificadas en materia de seguridad de la información de la empresa y los requisitos legales y reglamentarios

Todo lo anteriormente mencionado da pie a que cada cual desarrolle una metodología que considere "adecuada para el SGSI" pudiendo provocar un mal diagnóstico y un modelo de riesgo de la empresa equivocado.

[...]

******************************************************
Una buena Metodología de Análisis de Riesgos I
Una buena Metodología de Análisis de Riesgos II
******************************************************