EBIOS RM EBIOS Risk Manager.

EBIOS Risk Manager es el método de ciberriesgo de ANSSI, centrado en escenarios de ataque estratégicos. Mapea los procesos de negocio frente a los objetivos del atacante y deriva a partir de ahí los controles técnicos. Es el estándar en el sector público francés y en los operadores de importancia vital. Resulta especialmente útil para mostrar al consejo de administración POR QUÉ importa un escenario concreto; es menos habitual en auditorías multinacionales del sector privado.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyRisk managementAll entries

La perspectiva de Cyber Academy

EBIOS Risk Manager es el método de ciberriesgo de ANSSI, centrado en escenarios de ataque estratégicos. Mapea los procesos de negocio frente a los objetivos del atacante y deriva a partir de ahí los controles técnicos. Es el estándar en el sector público francés y en los operadores de importancia vital. Resulta especialmente útil para mostrar al consejo de administración POR QUÉ importa un escenario concreto; es menos habitual en auditorías multinacionales del sector privado.

Lo que EBIOS Risk Manager hace realmente

EBIOS Risk Manager es el método de evaluación de riesgos cibernéticos mantenido por ANSSI, la agencia nacional francesa de ciberseguridad. Su rasgo definitorio es partir del atacante, no de una lista de activos. En lugar de catalogar cada servidor y preguntarse qué podría salir mal con cada uno, el método se pregunta quién querría dañar a la organización, qué intentaría conseguir y qué misiones de negocio atacaría para lograrlo. Los controles técnicos llegan al final, derivados de los escenarios, en lugar de ser el punto de partida.

Esta lógica inversa es lo que hace que EBIOS RM resulte útil ante un consejo de administración. Un registro de riesgos tradicional, construido de abajo hacia arriba, produce cientos de líneas que significan poco para los directivos. EBIOS RM produce un puñado de escenarios estratégicos, como un actor patrocinado por un Estado interrumpiendo un servicio crítico, o un competidor exfiltrando datos de diseño, cada uno vinculado a una misión de negocio concreta. Ese encuadre responde a la pregunta que los directivos plantean realmente: por qué nos importa esta amenaza concreta, y cuánto nos costaría si llegara a ocurrir.

Los cinco talleres

EBIOS RM se estructura como una secuencia de talleres, cada uno apoyándose en el anterior. El método es deliberadamente colaborativo: reúne en la misma sala a los responsables de negocio, los especialistas en riesgos y los equipos de seguridad, en lugar de dejar el análisis a un único analista.

  1. Alcance y base de seguridad. Definir el perímetro de negocio y técnico, identificar las misiones y los eventos temidos, y evaluar la base de seguridad existente frente a lo que se espera.
  2. Orígenes del riesgo. Identificar los orígenes del riesgo y sus objetivos perseguidos, el emparejamiento entre quién podría atacar y qué busca, y luego priorizar los más relevantes.
  3. Escenarios estratégicos. Cartografiar el ecosistema de socios, proveedores y partes interesadas, evaluar cómo un atacante podría alcanzar a la organización a través de ellos, y construir rutas de ataque de alto nivel.
  4. Escenarios operativos. Traducir los escenarios estratégicos en secuencias de ataque técnicas concretas, describiendo cómo se movería realmente un adversario a través de los sistemas.
  5. Tratamiento del riesgo. Decidir las medidas de seguridad, elaborar el plan de tratamiento y documentar el riesgo residual que la dirección acepta formalmente.

Dónde encaja y dónde no

EBIOS RM es el método de referencia en el sector público francés y entre los operadores de importancia vital, donde las expectativas regulatorias remiten a las directrices de ANSSI. También se enseña y utiliza ampliamente en las organizaciones francófonas. Fuera de ese contexto, en las auditorías multinacionales del sector privado, es mucho más probable que encuentre ISO 27005, que es la norma internacional de gestión de riesgos de seguridad de la información y, por diseño, es independiente del método.

Ambos son complementarios más que rivales. ISO 27005 describe un proceso genérico de gestión de riesgos alineado con ISO 27001 e ISO 31000, pero no prescribe una técnica única. EBIOS RM es una forma concreta y reconocida de llevar a cabo ese proceso, y ANSSI la posiciona como compatible con el enfoque ISO. Un equipo puede realizar talleres EBIOS RM y aun así presentar los resultados en términos de ISO 27005.

EBIOS Risk Manager comparado con ISO 27005
AspectoEBIOS Risk ManagerISO 27005
OrigenANSSI (Francia)Norma internacional ISO/IEC
NaturalezaMétodo prescriptivo con talleres definidosDirectrices de gestión de riesgos independientes del método
Punto de partidaObjetivos del atacante y misiones de negocioActivos, amenazas y vulnerabilidades
Contexto típicoSector público francés, operadores de importancia vitalAuditorías internacionales de SGSI del sector privado

En la práctica, conocer EBIOS RM denota soltura con el ecosistema de ANSSI, y conocer ISO 27005 denota soltura con el mundo de las normas internacionales. Los profesionales del riesgo que trabajan en los mercados europeos y franceses se benefician de dominar ambos, porque el método al que se recurre depende de quién vaya a leer el informe.

Frequently asked questions

01¿Quién publica y mantiene EBIOS Risk Manager?

EBIOS Risk Manager es publicado y mantenido por ANSSI, la agencia nacional francesa de ciberseguridad. Es la edición actual del método EBIOS y se pone a disposición como guía oficial para las organizaciones que evalúan el riesgo cibernético.

02¿En qué se diferencia EBIOS RM de ISO 27005?

EBIOS RM es un método específico, basado en talleres, que parte de los objetivos del atacante y de las misiones de negocio. ISO 27005 es una norma internacional independiente del método para la gestión de riesgos de seguridad de la información. EBIOS RM puede emplearse como una forma concreta de llevar a cabo un proceso alineado con ISO 27005; son complementarios, no competidores.

03¿Cuáles son los cinco talleres de EBIOS RM?

El método se desarrolla en cinco talleres secuenciales: alcance y base de seguridad, orígenes del riesgo, escenarios estratégicos, escenarios operativos y tratamiento del riesgo. Cada uno se apoya en el anterior, pasando del encuadre de negocio a los escenarios técnicos concretos y, finalmente, a un plan de tratamiento.

04¿Cuándo debería una organización elegir EBIOS RM?

EBIOS RM es muy adecuado cuando necesita explicar a la dirección por qué un escenario de ataque concreto importa, y cuando opera en el sector público francés o como operador de importancia vital, donde se esperan las directrices de ANSSI. Para las auditorías internacionales del sector privado, se solicita con mayor frecuencia ISO 27005.

05¿Es EBIOS RM una certificación?

No. EBIOS RM es un método de evaluación de riesgos, no un esquema de certificación. Los profesionales pueden formarse en la aplicación del método, pero las organizaciones no se certifican frente a EBIOS RM del modo en que certifican un sistema de gestión ISO 27001.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.