Atributos comparables
Se definió un conjunto de criterios a partir de los cuales se compararon y evaluaron las diferentes metodologías presentadas en capítulo anterior.
En la siguiente tabla se detallan los criterios seleccionados y su valoración.
| Criterio de evaluación | Descripción del criterio | Evaluación |
|---|---|---|
| Idioma | Lenguaje en el que está disponible la metodología o norma. | 3: En español 1: En inglés 0: Distinto a español |
| Enfoque | Principal tema tratado por la metodología o norma; diferenciando si es orientado a los riesgos de Seguridad de la Información o por el contrario tiene un abordaje general. | 3: En Seguridad de la Información 1: En general |
| Procesos de gestión de riesgos | Procesos principales dentro de la metodología o norma. | 2: Cuenta con la mayoría de los procesos principales 1: No cuenta con la mayoría de los procesos principales |
| Apoyo | Si la metodología o norma cuenta con guías de apoyo para facilitar su uso. | 3: Cuenta con guías de apoyo para la implementación 0: Documentación general de la norma |
| Ayuda a la implementación | Plan de proyecto, técnicas, roles, comparativas, cuestionarios. | 3: Cuenta con la mayoría de los elementos (4 o 5 de ellos) 1: No cuenta con la mayoría de los elementos, tiene alguno de ellos (3 o menos de ellos) 0: No cuenta con ayuda |
| Herramientas de soporte | Si la metodología o norma utiliza alguna herramienta ya sea free o premium. | 3: Existen herramientas libres, pero no las requiere 2: Existen herramientas de pago, pero no las requiere 1: No requiere de herramientas 0: Requiere de herramientas |
| Acceso a la metodología | Tipo de acceso: libre o sin costo, o mediante pago. | 3: Libre 2: Algunos materiales restringidos 1: Pago |
| Elementos | Procesos, Activos, Recursos, Vulnerabilidades, Amenazas y Controles. | 3: Cuenta con todos los elementos. 2: Cuenta con la mayoría de los elementos (4 o 5 de ellos). 1: Tiene alguno de ellos (2 o 3 de ellos) |
| Tipo de empresas | Pequeña, mediana, grande. | 2: Aplica para la mayoría de las empresas 1: Aplica para las empresas medianas y grandes 0: Aplica solo a empresas grandes |
| Tipo de análisis | Cualitativo, cuantitativo. | 3: Cuenta con ambos tipos de análisis 2: Cuenta sólo con análisis cualitativo 1: Cuenta sólo con análisis cuantitativo |
| Complejidad | De acuerdo a la necesidad de experiencia | 3: Baja 2: Media 1: Alta |
A cada uno de los criterios de evaluación definidos, se le asignó una valorización de entre 0 y 3 puntos, con el fin de asignarle un puntaje mayor a aquellos aspectos que son más importantes al momento de cumplir con los objetivos iniciales de este trabajo.
Por ejemplo, respecto al idioma, se asignó un valor de 3 puntos a las metodologías que disponen de su documentación original en español, un valor de 1 punto a las que disponen de la documentación en inglés, pero no en español, y un valor de 0 punto, a las que no disponen de documentación ni en español ni en inglés. De este modo, aquellas metodologías cuya documentación no esté publicada en español o en inglés, no recibirán puntos, pues resulta más difícil la comprensión de idiomas particulares diferentes del español o el inglés.