EBIOS Risk Manager: todo lo que hay que saber sobre el método y la certificación PECB (2026)
cybersecurity-compliance
audit-certification

EBIOS Risk Manager: todo lo que hay que saber sobre el método y la certificación PECB (2026)

EBIOS Risk Manager explicada sin jerga: los 5 talleres, el vínculo con ISO 27001 y lo que realmente vale la certificación PECB.

Henri HAENNI - Expert in Business Continuity, Risk Management and Information Security Governance
Henri HAENNI
14 min read

EBIOS Risk Manager es el método de análisis de riesgos digitales publicado por la ANSSI, la agencia nacional de ciberseguridad francesa. Es la última generación de una familia de métodos de análisis de riesgos de seguridad de la información (la familia EBIOS) cuya primera versión data de 1995. A diferencia de sus predecesoras, EBIOS RM está decididamente orientada a las ciberamenazas deliberadas, centrada en los atacantes y en escenarios de ataque estratégicos y operativos.

Estructura el análisis en cinco talleres progresivos, desde el encuadre hasta el tratamiento, y se integra de forma natural en un enfoque ISO 27001. No reemplaza a ISO 27005, que es un marco normativo, global y estratégico: EBIOS RM propone una implementación concreta, operativa, prescriptiva y lista para usar.

La certificación PECB EBIOS Risk Manager valida un dominio real del método, más allá de la simple lectura de la guía ANSSI, que sigue siendo gratuita y abiertamente accesible. Para un CISO, un consultor o un risk manager activo en Francia, Suiza o Bélgica, representa una inversión sólida. También está disponible en versión inglesa. Para una pyme sin cultura del riesgo establecida, una formación sin certificación suele ser más útil en un primer momento.

Dicho esto, el método EBIOS Risk Manager divide opiniones. Algunos lo encuentran demasiado complejo, demasiado francés, demasiado orientado a grandes organizaciones. Otros lo han convertido en su herramienta central desde hace años. La realidad es más matizada y merece exponerse con claridad.

Tranquilo: este artículo no vende una formación. Responde a una pregunta sencilla: ¿qué es EBIOS RM, en qué casos es útil y vale la pena la inversión que podrías hacer en la certificación PECB?

¿Qué es exactamente EBIOS Risk Manager?

La definición oficial de la ANSSI

EBIOS Risk Manager es el método nacional francés de evaluación y tratamiento del riesgo digital. Fue publicado por la ANSSI (Agencia Nacional de la Seguridad de los Sistemas de Información) en octubre de 2018, con el apoyo del Club EBIOS. En marzo de 2024 se publicó una actualización importante para alinear el método con ISO/IEC 27005:2022.

La ANSSI la describe como una «caja de herramientas adaptable» aplicable a organizaciones públicas y privadas de cualquier tamaño o sector. Se distribuye bajo licencia abierta: la guía es gratuita, descargable directamente desde cyber.gouv.fr.

Como recordatorio, EBIOS significa Expression des Besoins et Identification des Objectifs de Sécurité («Expresión de las necesidades e identificación de los objetivos de seguridad»), una herencia de la primera versión creada en 1995 por el SCSSI, antecesor de la ANSSI.

EBIOS Risk Manager

EBIOS Risk Manager es el método nacional francés de análisis y tratamiento del riesgo digital, publicado por la ANSSI en 2018 bajo licencia abierta. Estructura el análisis en cinco talleres progresivos y se aplica a cualquier organización, pública o privada, sea cual sea su tamaño.

EBIOS 2010 vs EBIOS RM 2018: lo que cambió de raíz

La versión 2010 estaba centrada en los «bienes esenciales» y seguía una lógica de inventario relativamente exhaustiva: identificar todos los riesgos posibles sobre todos los activos. Útil, pero pesada en cuanto el entorno se volvía un poco complejo.

EBIOS Risk Manager 2018 cambió de enfoque. En lugar de buscar la exhaustividad, apunta a la representatividad: identificar los riesgos más significativos, partiendo de amenazas intencionales reales y del ecosistema de la organización. El resultado es un método más ágil, mejor adaptado a los sistemas interconectados y a las amenazas sofisticadas de hoy.

Otra diferencia importante: EBIOS RM integra explícitamente la noción de ecosistema. Socios, subcontratistas, proveedores cloud, prestadores de servicio, todo lo que interactúa con el sistema estudiado sin formar parte de él, se tiene en cuenta desde el Taller 3. Es precisamente lo que la hace pertinente en un contexto de ataques a la cadena de suministro y de riesgos de terceros.

EBIOS 2010 vs EBIOS RM 2018

Item: Enfoque

EBIOS 2010Exhaustividad (todos los activos)
EBIOS Risk Manager 2018Representatividad (riesgos significativos)

Item: Punto de partida

EBIOS 2010Bienes esenciales
EBIOS Risk Manager 2018Amenazas intencionales reales

Item: Ecosistema

EBIOS 2010No integrado
EBIOS Risk Manager 2018Taller 3 dedicado (proveedores, socios)

Item: Alineación ISO

EBIOS 2010ISO 27005:2011 (indirecta)
EBIOS Risk Manager 2018Plenamente alineada con ISO 27005:2022 (actualización marzo 2024)

Item: Agilidad

EBIOS 2010Pesada para sistemas complejos
EBIOS Risk Manager 2018Modulable según madurez y objetivo

¿Para qué sirven los 5 talleres EBIOS RM, en concreto?

El método se estructura en cinco talleres progresivos. Cada taller responde a una pregunta concreta.

Cómo leer esta sección

Cada taller está diseñado para alimentar al siguiente. Un Taller 1 hecho a la ligera debilita toda la cadena. No salte etapas, incluso si su perímetro parece sencillo.

Taller 1, Encuadre y base de seguridad: ¿qué protegemos y por qué?

Es el taller de partida. En él se define el perímetro del estudio, las misiones de la organización, los valores de negocio, los bienes de soporte y los eventos temidos. También se construye la base de seguridad: el estado de aplicación de las exigencias legales, regulatorias o normativas (ISO 27001, NIS 2, DORA, RGPD, LPD suiza, etc.) sobre el perímetro estudiado.

En la práctica: al final del Taller 1 sabes con precisión qué quieres proteger, qué temes y qué brechas de conformidad ya existen. Aquí también se tratan los riesgos accidentales y ambientales: vía la base, no vía escenarios de ataque.

Taller 2, Fuentes de riesgo: ¿quién puede atacarnos y por qué?

El Taller 2 identifica y caracteriza las fuentes de riesgo pertinentes; en términos llanos, los atacantes potenciales. Se evalúan sus recursos, sus motivaciones y lo que buscan obtener de forma concreta sobre tu sistema.

Este taller suele ser el que sorprende a los participantes. Plantearse en serio la pregunta «¿quién querría realmente atacarnos y para qué?» obliga a salir del marco genérico y anclar el análisis en la realidad de la organización.

Taller 3, Escenarios estratégicos: ¿por dónde pueden entrar?

Es el taller del ecosistema. Se cartografiía todo lo que interactúa con el perímetro estudiado (socios, proveedores, prestadores, interconexiones técnicas) y se identifican los caminos de ataque estratégicos plausibles a través de ese ecosistema.

Aquí es donde EBIOS RM se distingue más claramente de los enfoques clásicos. Al forzar el análisis de las dependencias externas, hace emerger vectores de riesgo a menudo ignorados en una visión puramente interna de la seguridad.

Taller 4, Escenarios operativos: ¿cómo actuarán en concreto?

El Taller 4 baja al nivel táctico y técnico. En él se detallan los modos operativos de ataque y se aprecia su verosimilitud. Es el taller más técnico del método, el que más experiencia exige en ciberseguridad operativa.

Taller 5, Tratamiento del riesgo: ¿qué hacemos ahora?

Es el taller de decisión. Ahora que los riesgos están identificados y evaluados, se decide cómo tratarlos: reducirlos con medidas de seguridad adicionales, transferirlos (seguros, contratos), aceptarlos con conocimiento de causa o rechazarlos modificando el perímetro.

El Taller 5 transforma el estudio en entregables accionables: plan de tratamiento, arbitrajes documentados, decisiones de gobernanza. Es lo que justifica la inversión en los cuatro primeros talleres.

Diagram
Los 5 talleres EBIOS RM, lógica de progresión

Diagrama de flujo de los 5 talleres EBIOS Risk Manager, que muestra cómo cada taller alimenta al siguiente, desde el encuadre inicial hasta el plan de tratamiento final.

La trampa del Taller 4

Sin un encuadre riguroso en el Taller 1, el Taller 4 puede generar una explosión combinatoria inmanejable. El Club EBIOS lo reconoce explícitamente. La solución: disciplinar la granularidad desde el inicio, no después.

¿Es EBIOS RM compatible con ISO 27001 e ISO 27005?

Es la pregunta que más se repite y la respuesta merece formularse con claridad.

Por qué EBIOS RM no reemplaza a ISO 27001

ISO 27001 es un sistema de gestión: describe cómo organizar, documentar, auditar y mejorar continuamente la seguridad de la información de una organización. No es un método de análisis de riesgo, sino un modelo de gobernanza.

EBIOS RM es un método: describe cómo llevar a cabo concretamente el análisis de riesgo que ISO 27001 exige. Ambos son complementarios, no competidores. En un proceso de certificación ISO 27001, EBIOS RM responde directa pero parcialmente a las exigencias de la cláusula 6.1.2 (apreciación de los riesgos de seguridad de la información).

Por qué ISO 27005 y EBIOS RM no se oponen

ISO 27005 describe el proceso general de gestión de los riesgos de seguridad de la información: definición del contexto, identificación, análisis, evaluación, tratamiento. Es un marco normativo. No dice cómo hacerlo, dice qué hacer.

EBIOS RM es una implementación concreta de ese proceso. Como lo formula el Club EBIOS: EBIOS RM «describe técnicas prácticas que permiten a sus usuarios aplicar el modelo descrito en ISO 27005». La ANSSI actualizó explícitamente el método en 2024 para hacerlo plenamente alineado con ISO/IEC 27005:2022.

La formulación más ajustada: EBIOS RM no reemplaza ni a ISO 27001 ni a ISO 27005. Complementa a ISO 27001 como método operativo de análisis de riesgo, e implementa concretamente la lógica descrita por ISO 27005.

ISO 27001 vs ISO 27005 vs EBIOS RM

Item: Naturaleza

ISO 27001Sistema de gestión certificable
ISO 27005Marco normativo de gestión del riesgo
EBIOS RMMétodo operativo de análisis

Item: Qué describe

ISO 27001Cómo gobernar, organizar y auditar la seguridad
ISO 27005Qué hacer para gestionar los riesgos
EBIOS RMCómo hacerlo en concreto

Item: ¿Certificable?

ISO 27001Sí (organizaciones e individuos)
ISO 27005No
EBIOS RMSí (individuos vía PECB)

Item: Vínculo mutuo

ISO 27001Exige un análisis de riesgo (cláusula 6.1.2)
ISO 27005Define el proceso general
EBIOS RMImplementa ISO 27005, responde a ISO 27001

Item: ¿Quién lo usa?

ISO 27001Cualquier organización que busque certificar su SGSI
ISO 27005Referencia para estructurar un proceso
EBIOS RMCISOs, consultores, risk managers

En qué casos EBIOS RM es más operativo

Para las organizaciones que deben demostrar su control de riesgos a un auditor, a una autoridad de supervisión o a su dirección, EBIOS RM produce entregables estructurados, trazables y defendibles. Es su principal ventaja sobre enfoques más informales. También está referenciada por la ENISA en su inventario de métodos de gestión del riesgo, lo que le otorga legitimidad internacional más allá del contexto puramente francés.

¿Quién usa EBIOS RM hoy?

Los perfiles profesionales implicados

El método no lo lleva un único actor.

El Club EBIOS lo explica con claridad: EBIOS RM «se lleva a cabo a través de talleres que reúnen los puntos de vista de varios actores». En la práctica, alrededor de la mesa hay: el CISO que pilota el proceso, representantes de negocio que conocen los valores a proteger, responsables técnicos que conocen los bienes de soporte y a menudo un representante de la dirección para los arbitrajes del Taller 5.

Los perfiles con mayor interés en dominar el método en profundidad: CISOs, consultores de seguridad, gestores de riesgos, arquitectos de seguridad, jefes de proyecto de SI críticos y auditores internos.

¿Quién pilota los talleres?

Una pregunta frecuente del Club EBIOS: «En concreto, ¿quién lleva el método, el CISO o el risk manager?» La respuesta: nadie lo lleva solo. Un piloto, varios contribuyentes. Definir esos roles antes de empezar es una condición de éxito, no un detalle.

Los sectores donde el método es más útil

EBIOS RM es ineludible en los sectores regulados y en los Operadores de Importancia Vital (OIV) en Francia. Pero la ANSSI precisa que se aplica «tanto a organizaciones públicas como privadas, sea cual sea su tamaño». Casos de uso publicados por el Club EBIOS cubren contextos tan variados como la sanidad (centro de imagen médica), los proyectos digitales o la seguridad de productos y servicios.

Para las organizaciones suizas y belgas expuestas a exigencias francesas o a socios que usan EBIOS RM, el método está cada vez más presente, aunque sigue siendo menos sistemático que en Francia. También recurre a este método proveedores de la UE cuyos clientes son entidades gubernamentales o militares francesas.

Francia, Suiza, Bélgica, Luxemburgo: ¿qué reconocimiento real?

El propio Club EBIOS lo escribe negro sobre blanco: EBIOS RM «es ampliamente conocida en Francia y su uso es con diferencia mayoritario como método de análisis de riesgos. Sin embargo, no goza del mismo prestigio fuera de nuestras fronteras».

En la Suiza francesa, Bélgica y Luxemburgo, el método es conocido y utilizado (existen formaciones, hay prestadores que lo aplican) pero coexiste con otros enfoques de gestión de riesgos. Para un profesional con base en Suiza, la certificación EBIOS RM es un activo real si su actividad le lleva a trabajar con organizaciones francesas, filiales de grupos franceses o exigencias regulatorias franco-europeas. Es menos determinante si su contexto es puramente helvético o internacional anglófono.

Presencia internacional

EBIOS RM está referenciada por la ENISA en su inventario oficial de métodos de gestión del riesgo cibernético, uno de los pocos métodos francoparlantes que reciben ese reconocimiento a nivel europeo.

Por qué el método parece complicado al inicio

El miedo a perderse

«¿EBIOS Risk Manager para analizar un SI: cómo no perderse?» es una de las preguntas más consultadas del Club EBIOS. Este miedo es legítimo. El método es rico, los conceptos precisos, y los cinco talleres pueden parecer imponentes antes de haber hecho uno.

Lo que ayuda: el método está diseñado para ser modulable. La ANSSI dice explícitamente que la importancia de cada taller varía en función del objetivo fijado y de la madurez del perímetro. Un primer estudio no necesita ser exhaustivo para ser útil.

El riesgo de explosión combinatoria

Es la crítica más frecuente de los practicantes experimentados. El Club EBIOS lo reconoce: «La realización de un estudio es a veces criticada por la explosión combinatoria de los elementos a estudiar». En ausencia de un encuadre riguroso, el Taller 4 puede volverse inmanejable.

La solución: calibrar la granularidad del estudio desde el Taller 1. Cuanto más amplio el perímetro y más numerosos los bienes de soporte, más hay que disciplinar el nivel de detalle de los talleres siguientes. Es una competencia que se adquiere con la práctica, y es precisamente lo que cubre una buena formación.

La certificación PECB EBIOS Risk Manager: ¿qué valida realmente?

Nombre exacto, niveles, prerrequisitos

La certificación se llama PECB Certified EBIOS Risk Manager. El esquema PECB distingue dos niveles: Provisional Risk Manager (sin experiencia requerida) y Confirmed Risk Manager (con experiencia documentada).

Para alcanzar el nivel Confirmed hay que cursar una formación EBIOS RM acreditada o justificar al menos 2 años de experiencia profesional relevante y haber aplicado una parte significativa del método al menos una vez en los 3 años anteriores a la solicitud. El prerrequisito de base es un nivel fundamental en gestión de riesgos.

Provisional Risk Manager vs Confirmed Risk Manager

Item: Experiencia requerida

Provisional Risk ManagerNinguna
Confirmed Risk ManagerMínimo 2 años en gestión de riesgos

Item: Aplicación en campo

Provisional Risk ManagerNo requerida
Confirmed Risk ManagerAl menos 1 estudio EBIOS en los últimos 3 años

Item: Obtención vía

Provisional Risk ManagerSolo examen
Confirmed Risk ManagerFormación acreditada O experiencia documentada + examen

Item: Para quién

Provisional Risk ManagerPerfiles al inicio de su carrera
Confirmed Risk ManagerCISOs, consultores, risk managers en ejercicio

Formato del examen, duración, nota de aprobación

El examen es a libro abierto, de 3 horas de duración. Comprende 60 preguntas: 57 de opción múltiple y 3 de tipo ensayo. La nota de aprobación es del 70 %.

«A libro abierto» no significa fácil. Las preguntas de ensayo exigen un dominio real del método y no la simple capacidad de encontrar una definición en la guía. Quien solo haya leído la guía de la ANSSI sin haberla aplicado ni estructurado mentalmente tendrá dificultades con las 3 horas.

Formato examen PECB EBIOS RM

3 horas, a libro abierto, 57 preguntas de opción múltiple + 3 de ensayo, nota de aprobación: 70 %.

Validez, renovación y mantenimiento

Las certificaciones PECB son válidas por 3 años. Para mantenerlas hay que satisfacer las exigencias de CPD (desarrollo profesional continuo) y pagar las cuotas anuales de mantenimiento. En caso de incumplimiento, la certificación puede ser suspendida 12 meses y después revocada.

¿Certificarse o simplemente leer la guía de la ANSSI?

Lo que aporta realmente una formación

La guía de la ANSSI es excelente y gratuita. Pero una formación hace dos cosas que la guía no puede: obliga a aplicar el método sobre casos prácticos y permite hacer preguntas a un practicante que ha conducido estudios reales de EBIOS RM. La diferencia entre «entender el método» y «saber llevarlo a cabo» suele ser de 3 días de formación.

Lo que aporta realmente la certificación

La certificación PECB añade una prueba formal y reconocida internacionalmente de tu dominio. Puedes hacerla visible en LinkedIn, verificable por empleadores y clientes, y para el nivel Confirmed acredita una experiencia real documentada. Para un consultor o un CISO que vende sus competencias en el mercado, es una señal clara.

En qué casos la certificación no es prioritaria

Si eres un profesional en puesto que usa EBIOS RM internamente sin necesidad de demostrarlo en el exterior, una formación sin certificación puede bastar. Si estás en una pyme que descubre el método y busca hacer un primer estudio correcto, el retorno de la inversión de una formación es inmediato; el de la certificación, menos evidente a corto plazo.

Checklist: ¿vale la pena la certificación PECB para ti?
Si marcas 3 casillas o más: la certificación es una inversión pertinente. Si marcas 1 o 2: empieza por la formación y evalúa después.
  • Trabajas o quieres trabajar como consultor de seguridad o gestor de riesgos
  • Necesitas demostrar tus competencias a clientes o empleadores externos
  • Tu actividad te expone a organizaciones francesas, OIV o filiales de grupos franceses
  • Eres CISO y debes legitimar un proceso de gestión de riesgos ante tu dirección
  • Ya tienes una base en ISO 27001 o en gestión de riesgos
  • Quieres valorizar tu perfil en LinkedIn dentro del espacio francoparlante de GRC

¿A quién le es más útil la certificación?

CISOs, consultores, gestores de riesgos, arquitectos de seguridad

Son los perfiles para los que la certificación tiene el mayor valor de señal. Un consultor de seguridad certificado PECB EBIOS Risk Manager puede mencionar la certificación en sus propuestas comerciales. Un CISO puede usarla para legitimar un proceso de análisis de riesgos ante su dirección.

Principiantes vs perfiles experimentados

Para un principiante con poca experiencia en gestión de riesgos, empezar por una formación Foundation ISO 27001 o una introducción a los riesgos cibernéticos puede ser más útil que atacar directamente EBIOS RM. El método presupone una comprensión básica del contexto de gestión de riesgos.

Para un perfil experimentado (un CISO con varios años de práctica, un consultor, un auditor), EBIOS RM es directamente accesible y el valor es inmediato.

Casos pyme y mediana empresa

Para una pyme o mediana empresa, el método es aplicable; la ANSSI lo dice explícitamente, y el Club EBIOS ha publicado una FAQ específica para pymes. La recomendación principal en este contexto: contar como mínimo con un representante de negocio/dirección y un responsable de SI alrededor de la mesa, y si es posible un acompañamiento por un proveedor para el primer estudio.

Lo que vemos en el terreno

En Abilene Academy formamos a profesionales en EBIOS Risk Manager desde hace varios años en la UE, la Suiza francesa y Francia. Algunas observaciones que no están en las guías:

El examen es honestamente exigente para quien no ha practicado. Las preguntas de ensayo piden estructuración, no restitución. Los candidatos que aprueban a la primera son los que han trabajado sobre casos prácticos, no los que han pasado más tiempo releyendo la guía.

El reconocimiento en Suiza varía según el sector. En empresas expuestas a exigencias de la ANSSI o en grupos con filiales francesas, la certificación se valora directamente. En contextos puramente helvéticos, ISO 27001 sigue siendo la referencia principal y EBIOS RM viene como complemento.

El vínculo con NIS 2 y DORA es real pero indirecto. Estos textos imponen procesos de gestión del riesgo, pero no citan EBIOS RM por su nombre. El método sigue siendo compatible y aplicable en esos contextos, pero no obligatorio.

Para una pyme suiza francesa que descubre la gestión de riesgos cibernéticos, a menudo recomendamos empezar por una formación sin obligación de certificación inmediata: hacer un primer estudio correcto, comprender el método en condiciones reales y después decidir si la certificación se impone en función del contexto profesional.

NIS 2, DORA, LPD suiza

Ninguno de estos textos cita EBIOS RM por su nombre. Imponen un enfoque estructurado de gestión del riesgo (al que EBIOS RM responde perfectamente), pero su uso sigue siendo una elección, no una obligación.

Fuentes

  • ANSSI, Actualización EBIOS RM, marzo de 2024: https://cyber.gouv.fr/actualites/lanssi-met-a-jour-la-methode-ebios-risk-manager/
  • ANSSI, El método EBIOS Risk Manager: https://cyber.gouv.fr/securisation/analyse-des-risques/methode-ebios-rm/
  • Club EBIOS, Vínculo EBIOS RM e ISO 27005: https://club-ebios.org/site/lien-ebiosrm-iso27005/
  • Club EBIOS, ¿Quién lleva el método?: https://club-ebios.org/site/concretement-qui-deroule-la-methode-rssi-ou-risk-manager/
  • Club EBIOS, Cómo evitar la explosión combinatoria: https://club-ebios.org/site/comment-eviter-lexplosion-combinatoire-dune-etude/
  • PECB, Certificación EBIOS Risk Manager: https://pecb.com/en/education-and-certification-for-individuals/risk-assessment-methods-training/ebios
  • PECB Help Center, List of PECB Exams: https://help.pecb.com/index.php/list-of-pecb-exams/
  • ENISA, Risk Management Inventory: https://tools.enisa.europa.eu/topics/risk-management/current-risk/risk-management-inventory/rm-ra-methods/m_ebios.html

Preguntas frecuentes

Sí. La guía oficial EBIOS Risk Manager está publicada por la ANSSI bajo licencia abierta (Etalab) y se puede descargar gratuitamente en cyber.gouv.fr. El método en sí es por tanto libremente accesible y utilizable por cualquier organización. Lo que es de pago es la formación estructurada, el acompañamiento por un practicante y la certificación PECB, no el método.

EBIOS 2010 seguía una lógica de inventario exhaustivo de riesgos sobre los activos. EBIOS Risk Manager 2018 cambió de enfoque: apunta a la representatividad más que a la exhaustividad, integra el ecosistema de la organización (proveedores, socios, interconexiones) desde el Taller 3 y reorienta el análisis hacia las amenazas intencionales reales. También se actualizó en 2024 para estar plenamente alineada con ISO/IEC 27005:2022.

No es obligatorio, pero es una ventaja real. EBIOS RM se integra en un enfoque ISO 27001 y comparte parte de su vocabulario. Un profesional que ya conoce ISO 27001 entenderá más rápido cómo se articulan los cinco talleres con las exigencias del sistema de gestión. Para principiantes completos, se recomienda como prerrequisito una introducción a la gestión de riesgos de seguridad de la información.

Es reconocida y utilizada en Bélgica, Luxemburgo y la Suiza francesa, especialmente en contextos francoparlantes o en organizaciones expuestas a exigencias francesas. Está referenciada por ENISA en su inventario de métodos de gestión de riesgos. Fuera del espacio francoparlante, ISO 27005 y NIST SP 800-30 están más extendidos. El propio Club EBIOS reconoce que «no goza del mismo prestigio fuera de nuestras fronteras».

Sí. La ANSSI precisa que EBIOS RM se aplica a organizaciones públicas y privadas de cualquier tamaño. Para una pyme, la clave es calibrar el nivel de detalle del estudio desde el Taller 1 y no perseguir la exhaustividad. El Club EBIOS recomienda contar como mínimo con un representante de negocio/dirección y un responsable de SI, y a menudo sugiere acompañarse de un proveedor para el primer estudio.

El encuadre (cadrage) es el taller 1 de EBIOS Risk Manager y el más estructurante de los cinco, porque todo el análisis de riesgo aguas abajo depende de su output. Tres entregables defendibles cierran el taller.

Primero, el perímetro del estudio: enumerar las actividades de negocio, los procesos, los sistemas de información y las ubicaciones incluidas; nombrar explícitamente lo que se excluye y por qué. Para un grupo, esto impone decidir si se evalúan las filiales individualmente o si se trata el grupo como un perímetro único. Para una entidad regulada (FINMA, ANSSI, ENISA), el perímetro debe cubrir todos los sistemas bajo competencia del regulador.

Segundo, los valores de negocio (valeurs métier): las misiones, servicios o activos cuya protección justifica el ejercicio. No son activos técnicos; son la razón de ser de la organización. La confianza del cliente de un banco, la continuidad operativa de la línea de un industrial, la disponibilidad de la atención al paciente de un hospital.

Tercero, el zócalo de seguridad (socle de sécurité): las medidas ya existentes, incluyendo el estado de certificación ISO 27001, las obligaciones regulatorias y las restricciones contractuales. Este zócalo enmarca lo que el análisis puede recomendar y lo que no es negociable.

Output del taller 1: un enunciado de perímetro documentado y firmado por el patrocinador ejecutivo, una cartografía de valores de negocio y un inventario del zócalo. Sin estos tres artefactos, los talleres 2 a 5 derivan, sin importar el rigor del análisis aguas abajo.

Para conducir estos talleres con la certificación PECB reconocida, ver la formación EBIOS Risk Manager: https://www.abileneacademy.ch/es/training/curso-ebios-risk-manager

Los escenarios estratégicos son la contribución única de EBIOS RM frente a los métodos tipo checklist como el scoring cuantitativo ISO 27005. Modelan cómo una fuente de riesgo (el atacante, el insider malicioso, el proveedor negligente) podría realmente atentar contra un valor de negocio, siguiendo la trayectoria de una operación real más que una matriz genérica de amenazas.

Construir un escenario estratégico defendible sigue cuatro movimientos.

Identificar la fuente de riesgo por arquetipo: grupo cibercriminal, APT afiliada a un Estado, hacktivista, insider oportunista, compromiso de la cadena de suministro. Para cada arquetipo, anotar la motivación y el nivel de capacidad realista; un actor estatal y un script kiddie no merecen la misma profundidad de análisis.

Asociar cada fuente con un valor de negocio objetivo. No todas las fuentes atacan todos los valores; mapear los pares creíbles es el filtro que hace el análisis manejable. Un grupo de ransomware apuntando a la confianza del cliente de un banco privado suizo es realista; el mismo grupo apuntando a la exactitud del reporting regulatorio es menos directo.

Describir el modo operativo: la trayectoria de alto nivel que seguiría la fuente (acceso inicial, movimiento lateral, objetivo). Quedarse en el nivel estratégico aquí; el detalle operativo vive en el taller 4.

Calificar severidad y verosimilitud en la escala EBIOS (1 a 4), justificada por elementos sectoriales y por el zócalo de seguridad establecido en el taller 1. Output: el mapa de riesgos estratégicos, entregable principal presentado al patrocinador ejecutivo.

La certificación EBIOS Risk Manager cubre cada uno de estos movimientos en sesiones de trabajo: https://www.abileneacademy.ch/es/training/curso-ebios-risk-manager

El plan de tratamiento del riesgo (taller 5) es el cierre operativo del ciclo EBIOS y el documento presentado al equipo de auditoría, al regulador o al comité de dirección. Construir uno que resista el escrutinio exige tres puntos de disciplina.

Mapear cada riesgo retenido a una decisión de tratamiento: evitar, mitigar, transferir o aceptar. EBIOS RM impone esta disciplina al exigir una decisión explícita por cada riesgo residual tras los escenarios operativos del taller 4. La aceptación es una opción válida, pero solo con una justificación documentada y firmada al nivel de autoridad apropiado.

Para cada medida de mitigación, definir la medida, el responsable, el plazo, el sobre presupuestario y el objetivo de riesgo residual. EBIOS no prescribe controles específicos; se integra con ISO 27002, el NIST CSF, el Référentiel général de sécurité de la ANSSI o los CIS Controls, según la organización. La disciplina está en la trazabilidad: cada control se remonta a un escenario, cada escenario se remonta a un valor de negocio.

Planificar una cadencia de revisión. EBIOS RM es iterativa; el plan de tratamiento se revisa al menos anualmente, o cuando la lista de valores de negocio, el panorama de fuentes de riesgo o el zócalo de seguridad cambian de forma material. Para organizaciones sometidas a DORA, NIS 2 o a la certificación ISO 27001, esta cadencia es regulatoria, no opcional.

Output: un plan de tratamiento versionado con decisiones trazables, utilizado como evidencia en auditorías ISO 27001 y como documento de trabajo para el equipo CISO.

Los practicantes certificados pilotan estos cierres en cada ciclo; el título es la certificación EBIOS Risk Manager: https://www.abileneacademy.ch/es/training/curso-ebios-risk-manager

Formaciones relacionadas

Cursos mencionados en este artículo

EBIOS Risk Manager

Esta formación desarrolla la capacidad práctica de realizar evaluaciones de riesgo de seguridad de la información utilizando el método EBIOS Risk Manager tal como exige ANSSI y alineado con ISO 27001. Los participantes realizan un estudio EBIOS RM completo, desde el alcance hasta el tratamiento del riesgo, utilizando escenarios realistas.

Ver curso
Tags:#EBIOS RM#Gestión de riesgos#Certificación PECB#ISO 27001#ISO 27005#CISO#Análisis de riesgo#Suiza

Certifícate

ISO 27001, NIS2, gobernanza de IA y más. Únase a 2.500+ profesionales.

Ver cursos
Preguntar a nuestra IA

Related Articles

Continue exploring topics that matter to your organization

DORA: la guía completa de cumplimiento para entidades financieras europeas, exigencias, riesgos de terceros TIC y sanciones (2026)

DORA: la guía completa de cumplimiento para entidades financieras europeas, exigencias, riesgos de terceros TIC y sanciones (2026)

El reglamento DORA (UE 2022/2554) impone un marco europeo de resiliencia operativa digital al sector financiero desde el 17 de enero de 2025. Guía completa: 5 pilares, NIS 2, sanciones.

Alexis HIRSCHHORN
12 may 2026
ISO 27001 para FinTechs suizas: la guía de la realidad FINMA (2026)

ISO 27001 para FinTechs suizas: la guía de la realidad FINMA (2026)

ISO 27001 en una FinTech suiza se lee a través de seis capas regulatorias: FINMA, ISG, nLPD, DORA, EU AI Act. La guía experta 2026 sobre alcance, riesgo de proveedores y reporte de incidentes.

Alexis HIRSCHHORN
28 abr 2026
ISO 14001:2026: la guía completa de la nueva norma de gestión ambiental

ISO 14001:2026: la guía completa de la nueva norma de gestión ambiental

ISO 14001:2026 publicada el 15 de abril de 2026. Guía completa con los siete cambios sustantivos respecto a la versión de 2015, calendario de transición, ruta de implantación, ruta de auditoría y formación certificante PECB.

Géraldine RAYET
16 abr 2026

Usamos cookies para mejorar su experiencia

Las cookies necesarias siempre están activas. Puede aceptar, rechazar cookies no esenciales o personalizar sus preferencias.