ISO 27001 Seguridad de la información: Análisis y evaluación de riesgos

by | posted in: NOTICIAS | 0

Toda empresa está expuesta a diversas amenazas, las mismas que se pueden definir como cualquier evento que puede afectar los activos de información y se relaciona, principalmente, con recursos humanos, eventos naturales o fallas técnicas. Algunos ejemplos pueden ser: ataques informáticos externos, infecciones con malware, una inundación, un incendio o cortes de fluido eléctrico.

En otras ocasiones puede ser por alguna omisión o despiste por parte del personal de la empresa, como el uso de una simple pulsera imantada, para que se pueda llegar a producir un daño grave, e incluso irreparable, de la información.

 

Seguridad de la Información:  Norma ISO 27001

Un Sistema de Gestión de Seguridad de la Información basados en la norma ISO 27001 tiene como prioridad principal la identificación y análisis de las principales amenazas de seguridad de la información para que con ello, se pueda establecer una evaluación y planificación de dichos riesgos.

Frente a cualquier tipo de amenaza de riesgo de seguridad de la información, se debe en definitiva elaborar una adecuada gestión de riesgos que permita a las organizaciones conocer cuáles son las principales vulnerabilidades de sus activos de información.

Un correcto proceso de identificación de riesgos implica:

  • Identificar todos los activos de información que tienen algún valor para la organización.
  • Asociar las amenazas con los activos identificados y determinar las vulnerabilidades.
  • Identificar el impacto que podría suponer una pérdida de confidencialidad,
    integridad y disponibilidad para cada activo.

 

Análisis, evaluación y consecuencias de los riesgos de seguridad de la información.

Es necesario analizar el impacto que tendría la empresa si ocurre un fallo de seguridad que suponga la pérdida de confidencialidad, integridad o disponibilidad de un activo de información, esto ayudará a evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades e impactos en los activos. Teniendo en cuenta que es necesario analizar sus consecuencias potenciales, que son muchas y de distinta gravedad: desde una simple dispersión de la información a la pérdida o robo de datos relevantes o confidenciales.

 

Metodología de evaluación de riesgos:

Se debe tener en cuenta las siguientes fases:

  1. Recogida y preparación de la información.
  2. Identificación, clasificación y valoración los grupos de activos.
  3. Distinción y clasificación de las amenazas.
  4. Identificación y estimación de las vulnerabilidades.
  5. Diferenciación y valoración de impactos: identificar, tipificar y valorar los impactos.
  6. Evaluación y análisis del riesgo.

 

Criticidad del riesgo

Se deben evaluar las consecuencias potenciales para poder evaluar su criticidad, que pueden ser: riesgo aceptable y riesgo residual.

Riesgo aceptable: Hay que tener en cuenta que, muchas veces no es posible eliminar totalmente el riesgo, ya que tampoco resultaría rentable, por lo que la empresa deberá reducir la posibilidad de ocurrencia y minimizar las consecuencias a unos niveles que la organización pueda asumir, sin que suponga un perjuicio demasiado grave a nivel: económico, logístico, de imagen, de credibilidad, etc.

Riesgo residual: Es el riesgo que permanece y subsiste después de haber implementado los debidos controles, es decir, una vez que la organización haya desarrollado completamente un SGSI, es una de las posibilidades de que ocurra un incidente, pese a verse implantado con eficacia las medidas evaluadoras y correctoras para mitigar el riesgo inherente.

El compromiso del liderazgo

En este sentido, la norma ISO 27001 otorga un peso cualitativo muy importante a la Dirección, la cual deberá ejercer el liderazgo del sistema de seguridad, estableciendo un plan de trabajo en el que quede perfectamente definida la segregación de tareas, es decir, deberá establecer con exactitud quién tiene que hacer cada función y cómo ejecutarla.

Los dueños del riesgo

En la norma ISO 27001 se establece la figura de Dueño del Riesgo, en la que se asocia cada amenaza potencial o real a un responsable, que es la persona que se asegura que se lleven a cabo las distintas actividades.

Dicho responsable se responsabiliza de que realmente los controles se están llevando a cabo acorde a lo establecido.

Por lo tanto, es necesario definir la estructura organizacional del SGSI, seleccionado el personal idóneo dependiendo del tamaño de la empresa y el alcance definido para la implantación del SGSI. De acuerdo a las dos anteriores variables, se puede determinar el número de profesionales con los perfiles necesarios que formarán parte del grupo de seguridad de la información de la institución.

 

Fuente: Isotools