Un procedimiento de evaluación de riesgos de seguridad de la información establece una base sólida para implementar un Sistema de Gestión que garantice el cumplimiento de regulaciones como GDPR y otras relacionadas con la privacidad de los datos y la protección de la información.
Este tipo de evaluaciones también sirven para priorizar las amenazas y diseñar e implementar las acciones más eficientes para minimizar o eliminar los riesgos. La evaluación de riesgos de seguridad de la información es el soporte del cumplimiento de ISO 27001 en cualquier organización.
¿Qué es una evaluación de riesgos de seguridad de la información y por qué es importante?
La evaluación de riesgos de seguridad de la información es un proceso por el cual se identifican, analizan, categorizan, priorizan amenazas para el cumplimiento de los objetivos propuestos y se obtiene la información necesaria para tomar decisiones sobre qué hacer con esos riesgos.
Específicamente, en el área de seguridad de la información, las evaluaciones de riesgos se basan en los activos de datos e información corporativa. Por eso, ISO 27001 es muy claro en solicitar que se realice un proceso de gestión de riesgos para revisar y confirmar los controles de seguridad, de acuerdo con las obligaciones regulatorias, legales y contractuales.
Este proceso es el paso más complicado, pero al mismo tiempo el más importante a considerar cuando se desea construir un Sistema de Gestión eficiente y que tenga la capacidad para mejorar de forma continua.
Para las organizaciones, la seguridad de la información es un tema prioritario. Una infracción de seguridad puede destruir en un solo día la confianza de clientes, inversores, instituciones financieras u organismos reguladores, en la organización.
El daño a la reputación es irreparable cuando ocurre un riesgo que podría haber sido evaluado, prevenido y tratado a tiempo. Y para que ello no suceda, la organización necesita seguir una metodología que se desarrolla en 7 pasos.
Evaluación de riesgos de seguridad de la información – 7 pasos para realizarla
Entendida la importancia de la evaluación de riesgos de seguridad de la información, examinemos el modelo de 7 pasos que hoy proponemos para realizarla y alcanzar los objetivos:
1. Establecer y delimitar un marco de evaluación de riesgos
La cláusula 6.1.2 de ISO 27001 solicita evaluaciones de riesgos coherentes, válidas y comparables. Esto significa que el proceso debe ser objetivo, transparente y auditable, de tal forma que se obtengan resultados consistentes, aunque la tarea la desarrollen diferentes personas.
Para establecer este proceso lo primero es identificar requisitos de orden comercial, regulatorio o contractual, que le sean aplicables a la organización en el área de seguridad de la información. Esto incluye regulaciones como RGPD, por ejemplo.
En este primer paso, también se definen las herramientas o los modelos de evaluación a utilizar. Con esto definido, los profesionales del área de gestión de riesgos de seguridad de la información están listos para avanzar en el inventario de los activos de información.
2. Inventariar los activos de información
La evaluación de riesgos basada en activos es una de las dos formas comunes para hacerlo. La otra es la evaluación basada en escenarios. La evaluación basada en activos demanda más tiempo para identificar las amenazas relevantes, pero entrega una visión completa en la que difícilmente un riesgo relevante escape al escrutinio de los especialistas.
La tarea avanza con un listado de activos de información. Entre otros, este debe incluir como mínimo:
- Hardware.
- Software.
- Dispositivos.
- Bases de datos de información.
- Dispositivos extraíble.
- Dispositivos móviles.
- Propiedad intelectual.
- Archivos en papel.
La lista se complementa con los propietarios de los activos. Hablamos de las personas u organizaciones encargadas de controlar el uso, mantenimiento y seguridad de los activos mencionados.
3. Identificar puntos vulnerables y amenazas potenciales
Con la lista de activos empezamos a percibir las ventajas de trabajar con el sistema basado en ellos. En lugar de analizar y pensar en cientos o miles de escenarios posibles, nos restringimos a lo que le pueda ocurrir a cada uno de nuestros activos.
Una vulnerabilidad asociada a los dispositivos móviles, por ejemplo, es el robo del aparato. El software, por otra parte, puede ser hackeado y los sistemas operativos pueden ser la puerta de entrada para un ciberdelincuente.
La #EvaluaciónRiesgos de seguridad de la información es clave para asegurar el cumplimiento de #ISO27001. Aprende 7 pasos para realizarla Share on X4. Determinar el impacto de las amenazas
Ahora tenemos una lista de activos y una lista de riesgos que los amenazan. Es el momento en que se entiende que esas amenazas no revisten la misma gravedad y por ende, la misma importancia.
En este paso se califican los riesgos en función de la probabilidad de ocurrencia y la capacidad para causar daño. Las matrices de riesgos, que consideran factores como el apetito de riesgo, entregan riesgos categorizados de acuerdo con su probabilidad de ocurrencia, pero también con sus implicaciones comerciales, legales, contractuales y regulatorias.
5. Crear un plan de gestión de riesgos
Llegamos al punto medular de la gestión de riesgos. Es el momento de decidir, con base en el trabajo que se ha realizado, qué vamos a hacer con cada amenaza. Las opciones son:
- Evitar el riesgo, cuando es posible y financieramente viable, eliminar la causa raíz del problema.
- Mitigar el riesgo, cuando es posible reducir la probabilidad de ocurrencia, el daño potencial o ambos.
- Transferir el riesgo, subcontratando un proceso o tomando una póliza de seguros.
- Aceptar el riesgo, cuando el coste de mitigarlo es muy alto y, por el contrario, es posible aprovechar alguna oportunidad aceptándolo.
Para mitigar las amenazas ISO 27001 ofrece una muy eficaz lista de controles, contenidas en el Anexo A.
6. Preparar y reunir los informes de evaluación de riesgos de seguridad de la información
Para efectos de auditoría interna, y pensando desde ya en la certificación del sistema, es preciso reunir todos los informes y documentos procesados en los cinco pasos anteriores, lo que incluye documentar hallazgos, planes de acción y, especialmente, estos:
- Declaración de aplicabilidad.
- Plan de tratamiento de riesgos.
7. Revisar, monitorear y comprobar la eficacia de la gestión de riesgos
El plan de tratamiento de riesgos, incluye, como ya lo mencionamos, estrategias de mitigación. Estas estrategias se asignan a alguien, junto con el presupuesto, los recursos y la programación de tiempo y lugar para ser ejecutadas.
ISO 27001 solicita que se revise todo el proceso regularmente, pero especialmente después de concluir un ciclo de evaluación de riesgos de seguridad de la información, para verificar que todo funcionó como se esperaba. Recordemos que, como sucede con otras normas ISO, aquí el ciclo PDCA resulta clave para la mejora continua del sistema.
Diplomado en Seguridad de la Información – ISO 27001
El Diplomado en Seguridad de la Información ISO/IEC 27001 es un programa concebido e implementado, pensando en los retos que deben asumir los profesionales en esta área esencial, en un momento histórico marcado por la Transformación Digital.
Los alumnos de este programa de excelencia, obtienen un certificado de la Escuela Europea de Excelencia, pero, además, allanan el camino hacia la obtención de un certificado oficial de ERCA, el Registro Europeo de Auditores Certificados.
Como sucede con todos los Diplomados de la EEE, para este también puedes contar con el apoyo que te ofrecemos a través del programa de becas Excellence.