Inicio > Glosario de ciberseguridad > Método EBIOS 🟦

Método EBIOS 🟦

EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) es un método de análisis y gestión de riesgos informáticos y digitales. desarrollado y mantenido por la Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI). Permite identificar, evaluar y tratar los riesgos asociados a los sistemas de información para garantizar su seguridad.

La última versión, EBIOS Risk Manager v1.5, fue publicada por la ANSSI en marzo de 2024.

Ilustración de EBIOS Risk Manager

🎯 ¿Para qué sirve EBIOS?

EBIOS se utiliza para :

Identificación de riesgos : determinar los acontecimientos temidos que puedan afectar al sistema de información y a los activos críticos de la organización.
Evaluación de riesgos : estimar la probabilidad de que se produzcan estos sucesos y su impacto potencial en la organización.
Afrontar los riesgos: definir y aplicar las medidas de seguridad adecuadas para reducir o controlar los riesgos detectados.
Comunicar los riesgos: proporcionar una visión clara y compartida de los riesgos a las distintas partes interesadas.
Justificar las opciones de seguridad : explicar y documentar las decisiones en materia de seguridad.
Cumplir la normativa: cumplir los requisitos de determinadas normas y reglamentos (por ejemplo, RGPD, LPM).

Cómo funciona

Cómo funciona EBIOS Risk Manager (la versión actual) :

RM EBIOS se estructura en torno a 5 etapas principales, divididas en 5 secciones:

Antecedentes : definición del alcance del estudio, identificación de las partes interesadas y sus expectativas, descripción de los objetivos de seguridad.
Ámbitos de actividad : análisis de los negocios y procesos soportados por el sistema de información, identificación de los activos importantes para la organización.
Amenazas : identificación de amenazas potenciales (ataques informáticos, errores humanos, catástrofes naturales, etc.) y su probabilidad.
Vulnerabilidades : análisis de los puntos débiles del sistema de información que podrían ser explotados por las amenazas.
Riesgos y medidas de seguridad : cruzar amenazas y vulnerabilidades para identificar los escenarios de riesgo, evaluar su gravedad y definir las medidas de seguridad que deben aplicarse.

Un ejemplo concreto

Tomemos el ejemplo de una empresa que utiliza un sitio web de comercio electrónico.

Principal activo : la base de datos de clientes.
Amenaza: un ataque de Inyección SQL.
Vulnerabilidad : mal diseño del formulario de contacto del sitio web.
Escenario de riesgo : un atacante aprovecha la vulnerabilidad para inyectar código SQL y acceder a la base de datos de clientes.
Impacto potencial : robo de datos personales de los clientes, daños a la reputación de la empresa, pérdidas financieras.
Medida de seguridad : implementar controles de entrada en el formulario de contacto para evitar inyecciones SQL.

Competidores de EBIOS

Aunque el EBIOS se utiliza ampliamente en Francia, también existen otros métodos de análisis de riesgos:

ISO 27005 : norma internacional para la gestión de riesgos de seguridad de la información. EBIOS RM está ahora alineado con esta norma.
Marco de Ciberseguridad del NIST : marco de ciberseguridad elaborado por el Instituto Nacional de Normas y Tecnología (NIST) de Estados Unidos.
OCTAVE (Evaluación de Amenazas, Activos y Vulnerabilidades Operacionalmente Críticas) : método desarrollado por CERT (Computer Emergency Response Team) en Estados Unidos.
MEHARI (Método Armonizado de Análisis de Riesgos Informáticos) : desarrollado por el CLUSIF (Club de la Seguridad de los Sistemas de Información Franceses).