Cuando se implementa el análisis de riesgos en ISO 27001, la identificación de activos, amenazas y vulnerabilidades que atañen a la seguridad de la información es tan solo la primera parte del trabajo. La segunda fase, tan importante como la primera y no menos difícil, implica evaluar las consecuencias y probabilidades de cada riesgo. En otras palabras, la probabilidad de que ocurra y el impacto negativo que supone su ocurrencia.
El tipo de análisis de riesgos en ISO 27001 no está prescrito dentro del cuerpo de la norma. ISO 27001 requiere que la organización evalúe las consecuencias y la probabilidad de cada riesgo, pero no dice cómo hacerlo. Depende de los encargados del sistema decidirlo.
Aunque existen varias formas de analizar consecuencias y probabilidades dentro de la evaluación de riesgos en ISO 27001, existen dos enfoques que resultan prácticos para quienes comienzan su camino en la seguridad de la información.
Dos enfoques para evaluar consecuencias y probabilidades en el análisis de riesgos en ISO 27001
Antes de entrar en profundidad con estos enfoques, recordemos que, sin importar que modelo se elija el procedimiento debe ser documentado. La finalidad de estos enfoques es evaluar el riesgo para tener una idea sobre las posibilidades de que los objetivos no se alcancen así como poder priorizar aquellos riesgos en los que han de centrarse los mayores esfuerzos.
Los dos enfoques que queremos compartir para evaluar consecuencias y probabilidades en el análisis de riesgos en ISO 27001 son el cualitativo y el cuantitativo:
1. Evaluación de riesgos cualitativa
La evaluación de riesgos cualitativa destaca los mayores riesgos, lo que permite respaldar las decisiones de asignación de recursos. Pero también hace posible que los directores de área y los propietarios de riesgos se pregunten “que pasaría si…” con respecto a las consecuencias de varias acciones de gestión potenciales.
Este tipo de evaluación, dentro del análisis de riesgos en ISO 27001, se puede llevar a cabo de dos formas diferentes:
Evaluación simple
En una evaluación de riesgos simple, se evalúan las consecuencias y las probabilidades directamente. Una vez que identificamos los riesgos, simplemente utilizamos una escala para evaluar por separado las consecuencias y las probabilidades de cada uno de ellos.
Por ejemplo, se puede utilizar una escala de 0 a 4, en donde 0 es una probabilidad muy baja, 1 baja, 2 media, 3 muy probable y 4 extremadamente alta. Igualmente se podría utilizar una escala de 1 a 10. Cuanto mayor sea la escala, más precisos son los resultados, pero también más tiempo requerirá la evaluación.
Así, una evaluación de riesgos simple podría presentarse de esta forma:
Activo | Amenaza | Vulnerabilidad | Consecuencia (escala de 0-4) | Probabilidad (escala de 0-4) |
Ordenador portátil | Robo | Los empleados no tienen la capacidad para proteger sus dispositivos móviles. | 3 | 2 |
En una segunda etapa del #AnálisisRiesgos en #ISO27001 es preciso evaluar las consecuencias y la probabilidad. Explicamos cómo hacerlo. Share on X
Evaluación detallada de riesgos
En la evaluación detallada de riesgos, además de evaluar esos dos elementos – probabilidad y consecuencia– se evalúa otro adicional: el valor del activo. Para esto, se considera qué tipo de daño podría sucederle si su confidencialidad, integridad o disponibilidad estuviesen en peligro.
Como es lógico, tanto las amenazas como las vulnerabilidades influyen directamente en la probabilidad. Cuanto mayor es la amenaza y mayor es la vulnerabilidad, es más probable que ocurra el riesgo y viceversa.
Por ello, una vez se cuenta con los valores, calcular el riesgo es muy fácil. Es cuestión de realizar una operación matemática a elegir, o bien sumar o bien multiplicar los valores. Después de este cálculo es preciso determinar si los valores obtenidos son aceptables o no, y luego entrar en la etapa de gestión y tratamiento de riesgos.
2. Evaluación de riesgos cuantitativa
La evaluación cuantitativa en un análisis de riesgos en ISO 27001 considera datos puntuales, precisos y medibles, utilizando fórmulas matemáticas y recursos computacionales. De ese modo se calculan los valores de probabilidad e impacto usualmente expresados en cifras monetarias.
Diplomado de Seguridad de la Información con la ISO/IEC 27001:2013
Las organizaciones necesitan realizar un análisis de riesgos en ISO 27001 no solo para lograr la conformidad con la norma, o para lograr la acreditación, sino para garantizar la seguridad de la información.
Proteger la información de las organizaciones parte de contar con una serie de conocimientos y competencias. Estos se pueden conseguir a través del Diplomado de Seguridad de la Información con la ISO/IEC 27001:2013. Tras su realización, sus alumnos son capaces de implementar y auditar un sistema de gestión de seguridad de la información en cualquier organización.
La Escuela Europea de Excelencia ha puesto en marcha un sistema de becas para sus diplomados. Comprueba ahora si cumples con los requisitos para su obtención.