SGSI son las siglas utilizadas para referirse a un Sistema de Gestin de la Seguridad de la Informacin, una herramienta de

gran utilidad y de importante ayuda para la gestin de las organizaciones. Adems del concepto central sobre el que se construye
la norma ISO 27001.
Dado que la informacin es uno de los activos ms importantes de toda organizacin, requiere junto a los procesos y sistemas
que la manejan, ser protegidos convenientemente frente a amenazas que puedan poner en peligro la continuidad de los niveles de
competitividad, rentabilidad y conformidad legal necesarios para alcanzar los objetivos de la organizacin.
Actualmente, la mayor parte de la informacin reside en equipos informticos, redes de datos y soportes de almacenamiento,
encuadrados todos dentro de lo que se conoce como sistemas de informacin. Estos sistemas de informacin estn sujetos a
riesgos e inseguridades tanto desde dentro de la propia organizacin como desde fuera. A los riesgos fsicos (accesos no
autorizados a la informacin, catstrofes naturales fuego, inundaciones, terremotos ... , vandalismo, etc.) hay que sumarle
los riesgos lgicos (virus, ataques de denegacin de servicio, etc.).
Es posible disminuir de forma significativa el impacto de los riesgos sin necesidad de realizar grandes inversiones en software y
sin contar con una gran estructura de personal. Para ello se hace necesario conocer y afrontar de manera ordenada los
riesgos a los que est sometida la informacin, y a travs de la participacin activa de toda la organizacin, contemplar unos
procedimientos adecuados y planificar e implantar controles de seguridad basados en una evaluacin de riesgos y en una
medicin de la eficacia de los mismos.
El Sistema de Gestin de la Seguridad de la Informacin (SGSI) en las empresas ayuda a establecer estas polticas,
procedimientos y controles en relacin a los objetivos de negocio de la organizacin, con objeto de mantener siempre el
riesgo por debajo del nivel asumible por la propia organizacin. Para los responsables de la entidad es una herramienta, alejada
de tecnicismos, que les ofrece una visin global sobre el estado de sus sistemas de informacin, las medidas de seguridad que se
estn aplicando y los resultados que se estn obteniendo de dicha aplicacin. Todos estos datos permiten a la direccin una toma
de decisiones sobre la estrategia a seguir.
En definitiva, con un SGSI, la organizacin conoce los riesgos a los que est sometida su informacin y los gestiona mediante
una sistemtica definida, documentada y conocida por todos, que se revisa y mejora constantemente.

MAGERIT es la metodologa de anlisis y gestin de riesgos elaborada por el Consejo Superior de Administracin Electrnica que
estima que la gestin de los riesgos es una piedra angular en las guas de buen gobierno. Actualizada en 2012 en su versin 3
Anlisis de Riesgos: ISO 27005 vs magerit y otras metodologas
Como es ya de sobra conocido por todos los que trabajamos en el mbito de la seguridad de la informacin, la piedra angular de
todo SGSI (Sistema de Gestin de Seguridad de la Informacin) es la realizacin del pertinente anlisis de los riesgos asociados a
nuestros activos de informacin.La importancia del Anlisis de Riesgos deriva de que es la herramienta que nos va a permitir
identificar las amenazas a las que se encuentran expuestos dichos activos, estimar la frecuencia de materializacin de tales
amenazas y valorar el impacto que supondra en nuestra Organizacin esa materializacin.
En el campo del Anlisis de Riesgos, en Espaa tenemos un referente indiscutible cuando nos planteamos la metodologa a
seguir. Si, ese referente es MAGERIT: Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin. Si hasta
ahora este reinado de MAGERIT ha sido indiscutible -con la interesante excepcin de aquellos profesionales que han decidido
elaborar sus propias metodologas por considerar que se adaptaban mejor a sus organizaciones- desde hace relativamente poco
tiempo disponemos de un competidor de peso. Este nuevo actor en la escena del Anlisis de Riesgos es, como ya muchos se
habrn imaginado, el estndar internacional ISO/IEC 27005:2008, titulado Information technology Security techniques
Information security risk management. ISO 27005 derog las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000, y
proporciona desde su publicacin en Junio del pasado ao 2008, un conjunto de directrices para la correcta realizacin de un
Anlisis de Riesgos.
Sealar, no obstante, que ISO 27005 no proporciona una metodologa concreta de Anlisis de Riesgos, sino que describe a travs
de su clausulado el proceso recomendado de anlisis incluyendo las fases que lo conforman:
Establecimiento del contexto (Clusula 7)
Evaluacin del riesgo (Clusula 8)
Tratamiento del riesgo (Clusula 9)
Aceptacin del riesgo (Clusula 10)
Comunicacin del riesgo (Clusula 11)
Monitorizacin y revisin del riesgo (Clusula 12)
En pocas palabras, la norma nos sirve para no tener dudas sobre los elementos que debe incluir toda buena metodologa de
Anlisis de Riesgos, por lo que, visto desde este punto de vista puede constituirse como una metodologa en si misma.Adems, el
estndar incluye seis Anexos (A-F) de carcter informativo y no normativo, con orientaciones que van desde la identificacin de
activos e impactos, ejemplos de vulnerabilidades y sus amenazas asociadas, hasta distintas aproximaciones para el anlisi s
distinguiendo entre anlisis de riesgos de alto nivel y anlisis detallado. Pero con que argumentos cuenta ISO 27005 frente a
MAGERIT u otras metodologas existentes? Pues la verdad es que existe una divisin palpable en el sector, incluso a nivel
europeo (en este caso, lgicamente, comparando el estndar ISO frente a las metodologas propias de cada pas).
En el lado contrario encontramos a quienes no terminan de ver la aportacin de este estndar para los profesionales del anli sis
de riesgos, habida cuenta las numerosas metodologas existentes. Desde estas posiciones, ms puristas de la gestin de riesgos,
la crtica se centra en sealar que el nuevo estndar no se adentra realmente en la gestin de los mismos, sino que se queda en
un mero marco declarativo de determinados riesgos, y que dicho marco se enlaza con un ciclo PDCA (Plan, Do, Check, Act) con el
fin de revisar dichos riesgos.