Comparativa entre las metodologías de análisis y gestión del riesgo NTC- ISO/IEC 27005 y MAGERIT

Abstract

En la actualidad las organizaciones se enfrentan constantemente a la toma de decisiones que se puedan presentar en el cumplimiento de sus objetivos, debido a que todas las actividades que realizan implican un riesgo y en cada una de ellas se debe enfocar en gestionarlos, estableciendo un proceso sistemático y lógico de análisis. Este proceso es llamado gestión del riesgo el cual busca estudiar las causas, las posibles amenazas, los daños y consecuencias que con llevan a establecer un nivel de riesgo, este análisis implica la utilización de herramientas, métodos o metodologías que existen para tratarlos y es aquí en donde las organizaciones deciden cual utilizar. Debido al continuo crecimiento del mundo globalizado por Internet y los avances de las tecnologías de información, se evidencia que las amenazas y ataques son aun de mayor preocupación para una organización, al estar expuesta a riesgos de seguridad de alto impacto como ataques informáticos, robo de información, fallas en los equipos, fraudes, virus etc., siendo aún más importante utilizar dichas técnicas que aseguraran sus sistemas y así disponer una protección a sus vulnerabilidades y amenazas con el fin de valorar su grado de riesgo. En este documento se desea detallar el proceso de la gestión del riesgo y realizar una comparación entre dos metodologías MAGERIT: metodología de análisis y gestión de riesgos de los sistemas de información y la norma técnica colombiana NTCISO/IEC 27005, titulada tecnologías de la información, técnicas de seguridad, gestión del riesgo en la seguridad de la información.

nowadays, organizations are constantly faced with making decisions that can be presented in the fulfillment of their objectives, because all the activities they carry out involve a risk and in each one of them must focus on managing them, establishing a process systematic and logical analysis. This process is called risk management which seeks to study the causes, possible threats, damages and consequences that lead to establish a level of risk, this analysis involves the use of tools, methods or methodologies that exist to treat them and it is here where the organizations decide which one to use. Due to the continuous growth of the globalized world by Internet and the advances of information technologies, it is evident that threats and attacks are of even greater concern for an organization, as they are exposed to high-impact security risks such as computer attacks, theft of information, equipment failures, frauds, viruses, etc., being even more important to use these techniques to ensure their systems and thus provide protection to their vulnerabilities and threats in order to assess their degree of risk. In this document, we want to detail the process of risk management and make a comparison between two MAGERIT methodologies: methodology of analysis and risk management of information systems and the Colombian technical standard NTC-ISO / IEC 27005, entitled Technologies of information - security techniques - risk management in information security