EBIOS RM vs ISO 27005: el enfrentamiento.

Una comparación práctica de los dos métodos de referencia para el riesgo de seguridad de la información. Cuándo gana cada uno, cómo se vinculan con ISO 27001 y cuál esperan realmente su sector y su auditoría.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyRisk managementAll pillars

La perspectiva de Cyber Academy

EBIOS Risk Manager es el método nacional francés de evaluación de riesgos publicado por ANSSI, centrado en los escenarios estratégicos de ciberataque. ISO/IEC 27005 es la norma internacional de gestión de riesgos para la seguridad de la información, alineada con ISO 31000 y utilizada como capa metodológica para el trabajo del ISMS según ISO 27001. Ambas son metodologías para profesionales; son más complementarias que alternativas.

TL;DR

  • 1EBIOS RM es estratégico y orientado a escenarios. Vincula los procesos de negocio con los objetivos del atacante y, a partir de ahí, deriva los controles técnicos. Tiene fuerza en el sector público francés y en los operadores de importancia vital.
  • 2ISO 27005 es agnóstico en cuanto al método y se combina de forma nativa con el Anexo A de ISO 27001. Es el estándar en las auditorías internacionales.
  • 3EBIOS RM produce un número menor de escenarios de alto impacto con una narrativa rica. ISO 27005 produce un registro de riesgos exhaustivo.
  • 4Ambas son credenciales acreditadas de PECB: EBIOS Risk Manager (5 días), ISO/IEC 27005 Risk Manager (5 días). Lead Risk Manager solo existe para ISO 31000.
  • 5En la práctica: ISO 27005 para el registro de riesgos del ISMS, EBIOS RM como complemento para identificar los escenarios estratégicos que merecen la atención del consejo de administración.

Cómo se ejecuta realmente cada método en un proyecto

La división entre ambos métodos no es una cuestión de calidad; es una cuestión de punto de partida. ISO 27005 parte de los activos y las amenazas y avanza hacia fuera hasta un registro de riesgos completo. EBIOS RM parte de aquello que la organización teme perder y retrocede a través del atacante que provocaría esa pérdida. Los dos producen artefactos diferentes porque plantean preguntas de partida distintas, y esa diferencia es lo que percibirán su auditor, su consejo de administración y su plan de proyecto.

El trabajo con ISO 27005 es iterativo y exhaustivo por diseño. Se establece el contexto, se identifican los riesgos en todo el alcance, se analizan la probabilidad y la consecuencia, se evalúan frente a los criterios de aceptación y, después, se tratan. El resultado es un registro vivo que se vuelve a ejecutar de forma cíclica. Es el motor de riesgo natural para un ISMS de ISO 27001 porque habla el mismo lenguaje que el sistema de gestión: alcance, criterios, plan de tratamiento, riesgo residual, aprobación.

EBIOS RM se ejecuta como cinco talleres con una secuencia definida: encuadre y línea base de seguridad, orígenes del riesgo, escenarios estratégicos, escenarios operativos y tratamiento del riesgo. El método le obliga a nombrar primero los eventos temidos, luego las fuentes de riesgo (quién atacaría y por qué), después las rutas de ataque de alto nivel, antes de tocar un solo control. El curso EBIOS Risk Manager recorre cada taller con entregables reales, de modo que sale capaz de facilitar la secuencia, no solo de describirla.

EBIOS RM vs ISO 27005 de un vistazo

La tabla siguiente es la comparación que la mayoría de los equipos necesita sobre la mesa: no la filosofía, sino en qué se centra cada método, qué le entrega al final y dónde se espera realmente.

EBIOS RM vs ISO 27005: enfoque, resultado y dónde se espera cada uno
DimensiónEBIOS RMISO 27005
OrigenMétodo nacional francés, publicado por ANSSINorma internacional, ISO/IEC, alineada con ISO 31000
EnfoqueEscenarios estratégicos de ataque; intereses de negocio vinculados a las fuentes de amenazaIdentificación sistemática del riesgo de seguridad de la información en todo el alcance
Punto de partidaEventos temidos y orígenes del riesgo (de arriba hacia abajo)Activos, amenazas, vulnerabilidades (de abajo hacia arriba)
ResultadoUn pequeño conjunto de escenarios narrativos de alto impacto con estrategia de tratamientoUn registro de riesgos exhaustivo y repetible con plan de tratamiento
GranularidadPocos escenarios, narrativa profunda, legible para el consejoMuchos riesgos, estructurados, legibles para el ISMS
Relación con ISO 27001Complemento; aporta los riesgos estratégicos al ISMSCapa metodológica nativa para la Cláusula 6.1.2 y el Anexo A
Dónde se esperaSector público francés, OIV/OES, contratación con influencia de ANSSIAuditorías internacionales, ISMS multinacionales, garantía a clientes
Credencial acreditadaPECB EBIOS Risk Manager (5 días)PECB ISO/IEC 27005 Risk Manager (5 días)

Cómo se vinculan ambos con ISO 27001

ISO 27001 exige un proceso definido de evaluación y tratamiento del riesgo de seguridad de la información, pero no impone un método específico. Ese único hecho es la razón de que esta comparación exista. La Cláusula 6.1.2 le indica que evalúe el riesgo y elabore una Declaración de Aplicabilidad; no le dice que use ISO 27005 ni ninguna otra cosa. Los auditores comprueban que su proceso sea coherente, repetible y que produzca decisiones de tratamiento defendibles. El método es su elección.

ISO 27005 es aquí el camino de menor resistencia porque fue redactado para ser la capa metodológica bajo la norma. Su terminología, su lógica de criterios de aceptación y su estructura de plan de tratamiento encajan directamente en el ISMS sin necesidad de traducción. Si está construyendo o gestionando el sistema de gestión, aprenda el motor que le corresponde: el curso ISO/IEC 27005 Risk Manager cubre el ciclo completo de evaluación y tratamiento, mientras que el curso ISO/IEC 27005 Foundation es el punto de entrada adecuado si necesita los conceptos antes de facilitar.

EBIOS RM se vincula con la misma cláusula desde otro ángulo. No reemplaza el registro; afina su parte superior. Los escenarios estratégicos se convierten en el pequeño conjunto de riesgos que justifican el mayor escrutinio en la SoA y en el dosier del consejo. Los equipos que necesitan dominar la metodología de principio a fin, incluida la gobernanza de la evaluación y el papel de liderazgo en toda una organización, cursan ISO/IEC 27005 Lead Risk Manager.

La decisión: cuál, y cuándo ambos

La mayoría de los equipos plantean esto como un dilema de uno u otro y luego se arrepienten. La respuesta honesta es que la cuestión tiene dos capas: qué exige su auditoría o su sector, y qué necesita realmente su panorama de riesgo. Resuélvalas en ese orden.

  1. Si entra en juego un comprador con influencia de ANSSI, un contrato público francés o una obligación de OIV/OES, EBIOS RM es el lenguaje esperado. Lidere con él en la capa estratégica.
  2. Si su garantía proviene de un certificado internacional de ISO 27001 o de auditorías de clientes multinacionales, ISO 27005 es el método por defecto que el auditor lee con fluidez.
  3. Si tiene un problema real de adversario (un objetivo de alto valor, un servicio crítico regulado, riesgo cibernético a nivel de consejo), ejecute EBIOS RM sobre el registro para hacer aflorar los escenarios que merecen escalado.
  4. Si no tiene ni un mandato del sector francés ni un perfil de adversario agudo, ISO 27005 por sí solo es suficiente y más económico de operar.

Ejecutar ambos no es redundante cuando se delimita correctamente. ISO 27005 le da amplitud: cada riesgo del registro, tratado y seguido. EBIOS RM le da profundidad en los pocos escenarios que realmente harían daño. El error es ejecutar ambos con la misma granularidad, lo que duplica el trabajo y produce dos registros que nadie reconcilia. Use EBIOS RM para seleccionar y narrar; use ISO 27005 para enumerar y seguir.

Errores comunes y la realidad de la sala de auditoría

Los fallos son predecibles, y rara vez tienen que ver con el método en sí.

  • Elegir el método por preferencia en lugar de por audiencia. La pregunta correcta es quién lee el resultado: un comprador público francés espera el vocabulario de EBIOS RM, un auditor de certificación internacional espera un registro con forma de ISO 27005. Elija pensando en el lector.
  • Tratar los escenarios de EBIOS RM como sustituto de un registro completo. Los escenarios estratégicos son deliberadamente pocos. Un auditor que comprueba la cobertura de ISO 27001 preguntará dónde está documentado el resto del panorama de riesgo, y un puñado de narrativas no es una respuesta.
  • Ejecutar ISO 27005 como una hoja de cálculo de una sola vez. La norma es iterativa. Un registro fechado hace dieciocho meses sin cadencia de revisión es una observación a punto de producirse.
  • Confundir las credenciales. No existe Lead Auditor ni Lead Risk Manager para EBIOS RM, y la única credencial de Lead Risk Manager se sitúa bajo ISO 31000, no bajo ISO 27005. Planifique la ruta de certificación de su equipo en función de lo que realmente existe.

En la sala de auditoría, la realidad es más simple de lo que el debate sugiere. El auditor de certificación no califica su método frente a un rival; comprueba si el proceso que ha elegido está documentado, se aplica de forma coherente y es trazable desde el riesgo hasta el tratamiento y la aceptación residual. EBIOS RM le ayuda a explicar por qué ciertos riesgos de alto impacto recibieron una atención específica. ISO 27005 le ayuda a demostrar que nada se coló por las grietas. La postura más sólida, para las organizaciones que genuinamente necesitan ambos, es un registro de ISO 27005 como sistema de referencia con los escenarios de EBIOS RM superpuestos para justificar las decisiones que más importaron.

Frequently asked questions

01¿Cuál espera mi auditor?

Para una auditoría de certificación de ISO 27001, el auditor espera por defecto una metodología alineada con ISO/IEC 27005. La revisión de 2022 de ISO 27005 establece de forma explícita un puente con la Cláusula 6 de ISO 27001 y con los principios de ISO 31000.

Para las auditorías del sector público francés (HFDS, inspecciones de ANSSI a operadores de importancia vital en el marco de la LPM, supervisión de NIS 2 por parte de ANSSI), EBIOS RM es el lenguaje esperado. No articular los escenarios estratégicos con el vocabulario de EBIOS RM dará lugar a observaciones.

02¿Puedo usar ambos al mismo tiempo?

Sí, y muchas organizaciones lo hacen. EBIOS RM produce de 5 a 10 escenarios estratégicos de ataque con fuentes de amenaza identificadas, activos de negocio y eventos temidos; estos se convierten en las entradas de un registro de riesgos de ISO 27005 que gestiona la capa operativa (combinaciones de vulnerabilidad y activo, puntuación de probabilidad e impacto, opciones de tratamiento).

La combinación funciona porque EBIOS RM opera a nivel de escenario (apto para el consejo) mientras que ISO 27005 opera a nivel de activo y control (apto para la auditoría). Vincular ambos exige disciplina, pero es un terreno bien transitado en las entidades francesas sujetas tanto a la supervisión de ANSSI como a la certificación ISO 27001.

03¿EBIOS RM solo es relevante en Francia?

En su mayor parte, sí. Fuera de Francia, ISO 27005 es la lengua franca para la metodología de riesgo del ISMS. EBIOS RM es reconocido por ENISA en algunas publicaciones y se utiliza en jurisdicciones de influencia francesa, pero rara vez lo encontrará en auditorías fuera de Francia o del África francófona.

Si su huella de auditoría es puramente internacional, ISO 27005 es la opción única más segura. Si opera en Francia, en el sector público, o vende a entidades del Estado francés, se espera que conozca EBIOS RM.

04¿Qué cubre la credencial PECB EBIOS Risk Manager?

Cinco días. Cubre los cinco talleres de EBIOS RM: alcance y línea base de seguridad, fuentes de riesgo, escenarios estratégicos, escenarios operativos, tratamiento del riesgo. El examen es de libro abierto, de tres horas, con una mezcla de preguntas de opción múltiple y de escenario.

La credencial está reconocida por ANSSI a través de la vía de acreditación PECB Gold Partner. No sustituye a ISO/IEC 27005 Risk Manager si su auditor espera la metodología ISO; la complementa.

Ediciones que convierten la lectura en una certificación.

Pilar leído. ¿Qué sigue?

Cada pilar enlaza con la edición que lo convierte en una certificación. Explora el catálogo o háblanos para un itinerario personalizado.