Saltar al contenido principal

Controles seguridad de la información

Gestión de riesgos de seguridad de la información. Aspecto clave

4.3/5 - (3 votos)

Seguridad de la información

La norma ISO/IEC 27001 proporciona los requisitos para el establecimiento, implementación mantenimiento y mejora continua de un sistema de gestión de seguridad de la información (SGSI), el cual debería ser una decisión estratégica para una organización, y desplegar todas sus capacidades para promover el crecimiento y la consolidación de una propuesta de valor.

La organización que desee implantar un Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO 27001 deberá llevar a cabo una evaluación de los riesgos de la seguridad de la información para poder establecer controles que aseguren un entorno invariable bajo los criterios de disponibilidad, confidencialidad e integridad.

Para conseguir dicho objetivo, habrá que definir el alcance del sistema de la empresa. Una vez que este se conoce habrá que establecer cuáles son los activos de información que afecta a cada compañía. Se considera un “activo de la información” a todo aquello que las entidades consideran importante o de alta validez para la misma, ya que puede contener información importante como lo puede ser bases de datos con usuarios, contraseñas, números de cuentas, etc.

Los activos de la información deberán ser valorados con el objetivo de conocer cuál es su impacto dentro de la organización. Para conocer ese impacto se utiliza la herramienta de análisis de riesgos. Este procedimiento implica la identificación de las amenazas, vulnerabilidades y riesgos de la información.

Descarga gratis e-book: La norma ISO 27001

¿Cómo se define el riesgo? ¿Y la amenaza?

Se puede definir el riesgo como la probabilidad de sufrir daños o pérdidas. Este puede ser humano o no. Por su parte, la amenaza se trataría más bien de un componente del riesgo provocado por una acción que puede ofrecer un resultado inesperado o no deseado. Los impactos provocados por una determinada amenaza pueden provocar múltiples daños: pérdida de ingresos o clientes, pérdida de diferenciación de mercado, costos de respuesta y recuperación por el incidente y el costo de pagar multas o sanciones reguladoras, etc.

En el ámbito de la seguridad de la información se usa lo que se conoce como el plan de tratamiento de riesgos de seguridad de la información. Este se trata del proceso mediante el cual se identifica, comprende, evalúa, y mitiga cualquier tipo de riesgo o amenaza en la información de una determinada organización. Este aporta dos aspectos clave a las compañías en las que la información es clave para sus operaciones:

  • Identificar todos los activos críticos de información. Un programa de gestión de riesgos que se puede ampliar para identificar a las personas críticas, los procesos de negocio y la tecnología.
  • Comprender por qué los activos críticos escogidos son necesarios para la operación, la realización de la misión y la continuidad de las operaciones.

El plan de tratamiento de riesgos de seguridad de la información debe de estar apoyado por una serie de elementos que incluyan:

  • Un programa de gestión de activos
  • El programa de gestión de la configuración
  • Un programa de gestión del cambio

Componentes clave a la hora de evaluar el riesgo de seguridad de la información

Un plan de tratamiento de riesgos de seguridad de la información adecuado debe de tener en cuenta varios componentes clave para evaluar todo riesgo. Estos son los siguientes:

  • Agentes de amenazas, que puede provocarnos determinados riesgos. Habrá que identificarlos perfectamente para conocer sus características y aplicar los controles oportunos.
  • Vulnerabilidad. Antes está solo se debe de tener una cosa clara: Hay que eliminarlo cuanto antes. En el caso de que no pueda ser eliminada habrá que tomar tres acciones: O se reduce al máximo la probabilidad de explotación de la vulnerabilidad; o se intenta reducir la gravedad del impacto resultante de la explotación de la vulnerabilidad, o bien, no se hace nada y se acepta el riesgo.
  • Los resultados esperados por cada vulnerabilidad. Estos dependerán de los impactos que se activen en cada vulnerabilidad.
  • Impacto o impactos provocados por una determinada vulnerabilidad. Estos pueden ser tantos como dicha vulnerabilidad genere y pueden afectar a diversos factores dentro de la organización.
  • Los activos de la información. Se trata del objetivo fundamental a proteger por todo plan de seguridad de la información. Habrá que intentar evitar a toda costa que estos activos sufran cualquier tipo de impacto negativo que pueda suponer una situación de compromiso para estos.

La Plataforma GRCTools facilita la gestión de la seguridad de la información

La ISO 27001 para los SGSI es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica GRCTools.

Con GRCTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

GRCTools también permite aplicar los requisitos de otras normas de Seguridad de la Información como PMG, SSI de los Servicios Públicos de Chile, entre otros.

Este software permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 y OHSAS 18001 de una forma sencilla gracias a su estructura modular.

E-book gratis la norma ISO 27001

¿Desea saber más?

Entradas relacionadas

Volver arriba