Cómo gestiona una PYME los riesgos de la seguridad de la información con ISO 27001

ISO 27001

ISO 27001 requiere que la organización que desee implantar un Sistema de Gestión de Seguridad de la Información (SGSI) evalúe los riesgos de la seguridad de la información para la implantación de controles que aseguren un entorno informático invariable bajo los criterios de disponibilidad, confidencialidad e integridad.

• Confidencialidad. Se trata de una propiedad de la información que pretende garantizar el acceso sólo a las personas autorizadas.
• Integridad. Se fundamenta en mantener con exactitud la información tal cual fue generada.
• Disponibilidad. Es la cualidad de la información de encontrarse a disposición de quienes deben acceder a ella en el momento que lo requieran.

Para alcanzar ese objetivo, primero es necesario definir el alcance del sistema de la empresa. Un vez que se conoce el alcance del sistema se deben reconocer los activos de información. Se considera un “activo de la información” a todo aquello que las entidades consideran importante o de alta validez para la misma, ya que puede contener información importante como lo puede ser bases de datos con usuarios, contraseñas, números de cuentas, etc.

Los activos deben ser valorados para conocer cuál es su impacto dentro de la organización. Para conocer ese impacto se utiliza la herramienta de análisis de riesgos. Este procedimiento implica la identificación de las amenazas, vulnerabilidades y riesgos de la información.

La metodología de análisis de riesgos a seguir en la aplicación de ISO-27001 se puede resumir en las siguientes etapas:

• Determinar el alcance del sistema en la organización.
• Reconocer los activos. La identificación y valoración de los activos es necesaria, ya que si no se realiza adecuadamente no se pueden establecer controles para su protección.
• Evaluación de activos. Consiste en determinar el valor e importancia que tiene cada activo para la organización, con el objetivo de poder aplicarle la seguridad más adecuada a cada uno de ellos.
• Determinar amenazas. Las amenazas son eventos que pueden desencadenar un incidente produciendo daños en los activos de la organización, por lo que su identificación es primordial.
• Eventualidad de las amenazas. Es importante conocer la probabilidad de que pueda producirse una amenaza y valorar el impacto económico que esta causaría, para poder tomar medidas ante esa situación potencial.
• Identificación de vulnerabilidades. Una vulnerabilidad es toda circunstancia o característica de un activo que permite la materialización de ataques que comprometen la confidencialidad, integridad o disponibilidad del mismo.

Hay que tener en cuenta que la presencia de una vulnerabilidad por sí misma no causa daño. Para que se produzca este daño debe existir una amenaza que pueda explotarla.

Hay numerosas herramientas para la determinación de los riesgos de activos de la información pero, independientemente de la metodología o la herramienta que se utilice, el resultado debería comformar una lista de los riesgos correspondientes a los posibles impactos.

Esto permite categorizar los riesgos e identificar cuáles deberían ser tratados exhaustivamente. Se debe escoger, en base a los resultados obtenidos, cual es el nivel de riesgo que la organización está dispuesta a tolerar, de manera que por debajo de ese nivel el riesgo es aceptable y por encima no lo será y se tomará alguna decisión al respecto.

La Plataforma Tecnológica ISOTools está elaborada para ser capaz de desarrollar cada una de estas indicaciones en la implantación de un SGSI de ISO27001, y llevar a cabo una gestión eficaz y eficiente del mismo.