CUADRO COMPARATIVO DE PROCESOS DE GESTIN DE RIESGOS ENTRE ISO 31000, ISO 27005, MAGERIT Y METODOLOGA DE LA ONP
31000
ESTABLECER EL CONTEXTO Determinacin de los parmetros y
condicionantes externos e internos que
permiten encuadrar la poltica que se
seguir para gestionar los riesgos. Un
elemento a destacar es el alcance del
anlisis, incluyendo obligaciones propias
y obligaciones contradas, as como las
relaciones con otras organizaciones,
sean para intercambio de informacin y
servicios o proveedoras de servicios
subcontratados
EVALUACIN DEL IDENTIFICACIN Busca una relacin de los posibles
RIESGO DEL RIESGO puntos de peligro. Lo que se identifique
ser analizado en la siguiente etapa. Lo
que no se identifique quedar como
riesgo oculto o ignorado.
ANLISIS DEL Busca calificar los riesgos identificados,
RIESGO bien cuantificando sus consecuencias
(anlisis cuantitativo), bien ordenando
su importancia relativa (anlisis
cualitativo).
EVALUACIN DEL Traduce las consecuencias a trminos
RIESGO de negocio. Aqu entran factores de
percepcin, de estrategia y de poltica
permitiendo tomar decisiones respecto
de qu riesgos se aceptan y cules no,
as como de en qu circunstancias
podemos aceptar un riesgo o trabajar
en su tratamiento.
ISO 27005
ESTABLECIMIENTO DEL CONTEXTO Establecer criterios bsicos, definir
el alcance y los limites
VALORACIN ANLISIS IDENTIFICACIN Determinar qu podra suceder
DEL RIESGO DEL DEL RIESGO que cause
RIESGO una prdida potencial, y llegar a
comprender el cmo, dnde y por
qu podra ocurrir esta
prdida
ESTIMACIN Estimacin cualitativa en primer
DEL RIESGO lugar para obtener una indicacin
general del nivel del riesgo y
revelar los riesgos ms
importantes. Posteriormente
puede ser necesario realizar un
anlisis ms especfico o
cuantitativo de los riesgos.
EVALUACIN DEL RIESGO Se deberan comparar los niveles
de riesgo frente a los criterios para
la evaluacin
del riesgo y sus criterios de
aceptacin
TRATAMIENTO DEL RIESGO Recopila las actividades encaminadas a
modificar la situacin de riesgo.
Consiste en seleccionar una o ms
opciones de modificacin de los riesgos,
y la aplicacin de esas
opciones.
COMUNICACIN Y CONSULTA La comunicacin interna y externa
efectiva y la consulta debe llevarse a
cabo para garantizar la que los
responsables de la aplicacin del
proceso de gestin del riesgo y las
partes interesadas a entender la base en
la que se toman las decisiones, y las
razones por las medidas son necesarias
en particular.
SEGUIMIENTO Y REVISIN El anlisis de riesgos es una actividad de MONITOREO Y REVISIN DEL RIESGO
despacho y que es imprescindible ver
qu ocurre en la prctica y actuar en
consecuencia, tanto reaccionando
diligentemente a los incidentes, como
mejorando continuamente nuestro
conocimiento del sistema y de su
entorno para mejorar el anlisis y
ajustarlo a la experiencia.
TRATAMIENTO DEL RIESGO
ACEPTACIN DEL RIESGO
COMUNICACIN DEL RIESGO
Los riesgos y sus factores (es decir,
el valor de los activos, amenazas,
las vulnerabilidades, la
probabilidad de ocurrencia) se
debe monitorear y revisar con el
fin de identificar todo cambio en el
contexto de la organizacin en una
etapa temprana, y para mantener
una visin general de la
perspectiva completa del riesgo.
Se debera tomar la decisin de
aceptar los riesgos y las
responsabilidades de la
decisin, y registrarla de manera
formal
Dar informacin acerca del riesgo
que se debera intercambiar y/o
compartir entre la persona que
toma la decisin y las otras partes
involucradas
El monitoreo y la revisin
continuos son necesarios para
garantizar que el contexto, el
resultado de la evaluacin del
riesgo y el tratamiento del riesgo,
as como los planes de
gestin siguen siendo pertinentes
y adecuados para las
circunstancias.
 MAGERIT
IDENTIFICACIN DE ACTIVOS Son los componentes o funcionalidades de un
sistema de informacin susceptibles de ser
atacados deliberada o accidentalmente con
consecuencias para la organizacin. Estos
incluyen: informacin, datos, servicios,
aplicaciones (software), equipos (hardware),
comunicaciones, recursos administrativos,
recursos fsicos y recursos humanos.
Con frecuencia se puede estructurar el
conjunto de activos en capas, donde las capas
superiores dependen de las inferiores:
Activos esenciales: La informacin que se
maneja y los servicios prestados
Servicios internos: Los que estructuran
ordenadamente el sistema de informacin
El equipamiento informtico: Aplicaciones
(software)
IDENTIFICACIN DE AMENAZAS Consiste en determinar las amenazas que
pueden afectar a cada activo. Las amenazas
son cosas que ocurren. Y, de todo lo que
puede ocurrir, interesa lo que puede pasar con
los de la organizacin activos y causen un
dao.
Las amenazas pueden ser de origen natural, de
acuerdo al entorno, errores humanos, etc.
DETERMINACIN DE IMPACTO Conociendo el valor de los activos (en varias
POTENCIAL dimensiones) y la degradacin que causan las
amenazas, es directo derivar el impacto que
estas tendran sobre el sistema.
Es frecuente que el valor del sistema se centre
en la informacin que maneja y los servicios
que presta; pero las amenazas suelen
materializarse en los medios. Para enlazar
METODOLOGA ONP
INVENTARIO Y INVENTARIO DE Son obtenidos, utilizados, procesados
VALORIZACIN ACTIVOS y/o entregados por los procesos que
DE ACTIVOS DE forman parte del alcance del sistema
INFORMACIN SGSI. Por cada activo se deben definir:
Nombre del Activo o Clasificacin.
VALORIZACIN DE Se valoriza la importancia que tiene el
ACTIVOS activo de informacin para la
organizacin, en cuanto a las
dimensiones de Confidencialidad,
Integridad y Disponibilidad (CID). Los
valores de importancia estn en una
escala de 5 valores donde muy alto
equivale 5 y muy bajo, 1.
ANLISIS DEL IDENTIFICACIN DE Por cada activo de Informacin
RIESGO LAS AMENAZAS, proveniente del Inventario de Activos
VULNERABILIDADES que pas a la fase de Anlisis de Riesgos
Y CONTROLES se genera la siguiente informacin: las
EXISTENTES amenazas, las vulnerabilidades y los
controles existentes.
DETERMINACIN Se valoriza la degradacin que, a causa
DEL VALOR DE de la amenaza, puede sufrir un activo de
DEGRADACIN informacin considerando las
vulnerabilidades y controles existentes,
en cuanto a las dimensiones de
Confidencialidad, Integridad y
Disponibilidad. Los valores de
importancia estn en una escala de 5
valores donde muy alto equivale 5 y muy
bajo, 1.
 unos con otros se recurre al grafo de
dependencias.

DETERMINACIN DEL RIESGO Conociendo el impacto de las amenazas sobre DETERMINACIN Para valorizar el Impacto, se toma el
POTENCIAL los activos, es directo derivar el riesgo sin ms DEL VALOR DE valor mximo de las 3 degradaciones CID
que tener en cuenta la probabilidad de IMPACTO para el posterior clculo del valor de
ocurrencia. Impacto. Luego se compara este valor de
El riesgo crece con el impacto y con la Degradacin CID (mximo) con el Valor
probabilidad, pudiendo distinguirse una serie de Importancia del Activo y se refleja en
de zonas a tener en cuenta en el tratamiento una Matriz.
del riesgo:
zona 1 riesgos muy probables y de muy
alto impacto
zona 2 franja amarilla: cubre un amplio
rango desde situaciones improbables y de
impacto medio, hasta situaciones muy
probables, pero de impacto bajo o muy
bajo
zona 3 riesgos improbables y de bajo
impacto
zona 4 riesgos improbables, pero de muy
alto impacto

DETERMINAR SALVAGUARDAS Las salvaguardas o contra medidas son
aquellos procedimientos o mecanismos tec-
nolgicos que reducen el riesgo. Hay amenazas
que se conjurar simplemente organizndose
ade-cuadamente, otras requieres elementos
tcnicos (programas o equipos), otras
seguridad fsica y, por ltimo, est la poltica
de personal.
DETERMINACIN DE Se valoriza la probabilidad de que se
LA PROBABILIDAD produzca un ataque exitoso de la
amenaza. Los valores de probabilidad
estn en una escala de 5 valores donde
muy alto equivale 5 y muy bajo, 1.
DETERMINACIN Se compara el valor de Impacto con el
DEL VALOR DEL valor de Probabilidad. Segn una matriz
RIESGO de doble entrada en una escala de 5
valores donde muy alto equivale 5 y muy
bajo, 1. Los Riesgos Altos (4) y Muy Altos

ESTIMAR EL IMPACTO Dado un cierto conjunto de salvaguardas
desplegadas y una medida de la madurez de su
proceso de gestin, el sistema queda en una
situacin de posible impacto que se denomina
residual. Se dice que hemos modificado el
impacto, desde un valor potencial a un valor
residual.
El impacto residual puede calcularse
acumulado sobre los activos inferiores, o
repercutido sobre los activos superiores.
ESTIMAR EL RIESGO Dado un cierto conjunto de salvaguardas
desplegadas y una medida de la madurez de su
proceso de gestin, el sistema queda en una
situacin de riesgo que se denomina residual.
Se dice que hemos modificado el riesgo, desde
un valor potencial a un valor residual.
El riesgo residual puede calcularse acumulado
sobre los activos inferiores, o repercutido
sobre los activos superiores.
(5) pasarn a la fase de Evaluacin de
Riesgos.
EVALUACIN DEL RIESGO La evaluacin del riesgo sirve para darle
significancia y para identificar los riesgos
que requerirn la aplicacin priorizada
de controles para su mitigacin en la
etapa de tratamiento del riesgo, o
decidir que ciertos niveles de riesgo
pueden ser aceptables, y que por tanto
no requieren mayor accin.
TRATAMIENTO DETERMINACIN DE La aceptabilidad o no de los riesgos se
DEL RIESGO LA ACEPTABILIDAD observa en el documento de Gestin de
DE RIESGOS Riesgos del SGSI o el que haga sus veces
y es determinados en base criterio
especificado. Su aceptabilidad se indica
con: No necesariamente Reducir o
Necesariamente Reducir.
TRATAMIENTO DE El tratamiento de los riesgos comprende
RIESGOS las siguientes tareas:
El tratamiento que requiera los
cuales pueden ser: Reducir, Evitar,
Transferir o Aceptar
Y El nivel de riesgo residual objetivo:
este se establecer la tabla o base de
datos de Tratamiento de Riesgos