Análisis y evaluación de riesgos de seguridad de la información

Riesgos de Seguridad de la Información

Un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 se fundamenta principalmente en la identificación y análisis de las principales amenazas de seguridad de la información para, a partir de este punto de partida, poder establecer una evaluación y planificación de dichos riesgos.

Una amenaza se puede definir como cualquier evento que puede afectar los activos de información y se relaciona, principalmente, con recursos humanos, eventos naturales o fallas técnicas. Algunos ejemplos pueden ser: ataques informáticos externos, infecciones con malware, una inundación, un incendio o cortes de fluido eléctrico.

Pero en ocasiones basta una omisión o despiste por parte del personal de la empresa, como el uso de una simple pulsera imantada, para que se pueda llegar a producir un daño grave, e incluso irreparable, de la información.

En definitiva, se trata de elaborar una adecuada gestión de riesgos que permita a las organizaciones conocer cuáles son las principales vulnerabilidades de sus activos de información.

Un correcto proceso de identificación de riesgos implica:

• Identificar todos aquellos activos de información que tienen algún valor
  para la organización.
• Asociar las amenazas relevantes con los activos identificados.
• Determinar las vulnerabilidades que puedan ser aprovechadas por dichas
  amenazas.
• Identificar el impacto que podría suponer una pérdida de confidencialidad,
  integridad y disponibilidad para cada activo.

Análisis y evaluación de los riesgos de seguridad de la información y sus consecuencias

Se debe analizar el impacto en el negocio de un fallo de seguridad que suponga la pérdida de confidencialidad, integridad o disponibilidad de un activo de información, evaluando de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación con las amenazas, vulnerabilidades e impactos en los activos.

Además de riesgo en sí, es necesario analizar también sus consecuencias potenciales, que son muchas y de distinta gravedad: desde una simple dispersión de la información a la pérdida o robo de datos relevantes o confidenciales.

Una posible metodología de evaluación de riesgos estaría compuesta de las siguientes fases:

1. Recogida y preparación de la información.
2. Identificación, clasificación y valoración los grupos de activos.
3. Distinción y clasificación de las amenazas.
4. Identificación y estimación de las vulnerabilidades.
5. Diferenciación y valoración de impactos: identificar, tipificar y valorar los impactos.
6. Evaluación y análisis del riesgo.

Criticidad del riesgo

Por este motivo, se deben evaluar las consecuencias potenciales para poder evaluar su criticidad: riesgo aceptable y riesgo residual.

Riesgo aceptable

No se trata de eliminar totalmente el riesgo, ya que muchas veces no es posible ni tampoco resultaría rentable, sino de reducir su posibilidad de ocurrencia y minimizar las consecuencias a unos niveles que la organización pueda asumir, sin que suponga un perjuicio demasiado grave a todos los niveles: económico, logístico, de imagen, de credibilidad, etc.

Riesgo residual

Se trata del riesgo que permanece y subsiste después de haber implementado los debidos controles, es decir, una vez que la organización haya desarrollado completamente un SGSI. Es un reflejo de las posibilidades de que ocurra un incidente, pese haberse implantado con eficacia las medidas evaluadoras y correctoras para mitigar el riesgo inherente.

El compromiso del liderazgo

La norma ISO 27001 otorga un peso cualitativo muy importante a la Dirección, la cual debe ejercer el liderazgo del sistema de seguridad. A partir de aquí, se debe establecer un plan de trabajo en el que quede perfectamente definida la segregación de tareas. Dicho de otro modo: se tiene que establecer con exactitud quién tiene que hacer cada función y cómo ejecutarla.

Los dueños del riesgo

La norma ISO 27001 establece la figura de Dueño del Riesgo, asociándose cada amenaza potencial o real a un responsable, que es la persona que se asegura que se lleven a cabo las distintas actividades.

Dicho responsable no tiene por qué ser la persona que finalmente ejecuta los controles, sino alguien que se responsabiliza de que realmente los controles se están llevando a cabo acorde a lo establecido.

Por lo tanto, es necesario definir la estructura organizacional del SGSI, seleccionado el personal idóneo dependiendo del tamaño de la empresa y el alcance definido para la implantación del SGSI. De acuerdo a las dos anteriores variables, se puede determinar el número de profesionales con los perfiles necesarios que formarán parte del grupo de seguridad de la información de la institución.

La Plataforma GRCTools facilita la automatización de la evaluación de riesgos de seguridad de la información

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica GRCTools.

Con GRCTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Este software permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 e ISO 45001 de una forma sencilla gracias a su estructura modular.