La evaluación de riesgos ISO 27001 requiere identificar primero esos riesgos de la información. Para ello, la organización puede elegir uno cualquiera de los muchos métodos que existen, diseñados para tal labor. Por alguna razón, la metodología que se definía en la edición 2005 de la norma sigue siendo la más utilizada. Bajo dicha metodología, la evaluación de riesgos ISO 27001 requiere combinar activos, amenazas y vulnerabilidades en un mismo modelo de evaluación. A continuación conocemos mejor este proceso.
Combinar activos, amenazas y vulnerabilidades en la evaluación de riesgos ISO 27001
Identificar los riesgos es la primera parte de un proceso de evaluación de riesgos ISO 27001. Para ello podemos considerar los activos, las amenazas y las vulnerabilidades. Esta tarea se vuelve más fácil si se elaboran tres columnas con una lista de activos, otra de amenazas asociadas y una final de vulnerabilidades.
El proceso, en la práctica es muy sencillo: se trata de enumerar los activos en una columna. En la siguiente, listamos las amenazas que se ciernen sobre ese activo, y en una tercera, las vulnerabilidades que encontramos para cada amenaza. Además es preciso agregar información sobre identificación del riesgo, la probabilidad de ocurrencia, el impacto potencial, etc.
Para hacer estos listados y asociarlos de manera adecuada es necesario entender la relación entre activos, amenazas y vulnerabilidades. En este punto, puede ser útil consultar nuestro artículo anterior sobre amenazas y vulnerabilidades en ISO 27001.
Sintetizando, los activos son todo aquello que representa un valor para la seguridad de la información en la organización: hardware, bases de datos, empleados responsables, etc. Estos activos pueden tener vulnerabilidades, es decir, son susceptibles o débiles en algunos puntos. Y esas vulnerabilidades pueden ser aprovechadas por las amenazas, que desde fuera del activo lo pueden comprometer.
La evaluación de riesgos #ISO 27001 requiere identificar esos riesgos, combinando activos, amenazas y vulnerabilidades. ¿Cómo lo hacemos? Share on XPara que quede claro, veamos los siguientes 3 ejemplos:
Activos | Amenazas | Vulnerabilidades |
Documento en papel | Fuego
Fuego Acceso no autorizado |
Los documentos no se almacenan en gabinetes a prueba de fuego.
No existen copias de seguridad. El documento no está protegido en un gabinete a prueba de violaciones. |
Documento digital | Fallo del disco
Virus Acceso no autorizado Acceso no autorizado |
No hay copia de seguridad del documento.
El programa antivirus no se actualiza de forma oportuna. El esquema de control no ha sido definido de forma adecuada. Existe un acceso indiscriminado |
Administrador del sistema | Indisponibilidad de este empleado
Errores frecuentes |
No hay alguien más que ocupe esta posición.
Muchos empleados no han recibido capacitación adecuada |
¿Cuántos activos, cuántas amenazas y cuántas vulnerabilidades considerar? Los que sean necesarios. Recuerde que un activo o una amenaza dejados de evaluar por practicidad o por pereza, se pueden convertir en un punto débil del sistema que tarde o temprano puede ser atacado. Lo mejor es llevar a cabo un análisis profundo y después tomar medidas priorizando según un enfoque basado en el riesgo.
Una vez se cuenta con este análisis documentado, la evaluación de riesgos ISO 27001 se desarrolla muy rápido. El secreto está en tener identificados los activos con claridad. Por supuesto, la complejidad y el tamaño de la organización tienen una incidencia definitiva en el tiempo que tome la tarea y las dificultades que se encuentren en el camino.
Como ya hemos señalado, la metodología de evaluación de riesgos ISO 27001 que combina activos, amenazas y vulnerabilidades, no es la única que se puede utilizar. La recomendamos porque se trata de un método que ofrece equilibrio entre lo práctico y lo eficiente.
Diplomado de Seguridad de la Información con la ISO/IEC 27001:2013
Prepararse para llevar a cabo la evaluación de riesgos ISO 27001 de la forma más adecuada y conseguir un sistema de seguridad de la información con más garantías es posible cursando el Diplomado de Seguridad de la Información con la ISO/IEC 27001:2013.
Los alumnos de este completo programa adquieren los conocimientos, las competencias y las habilidades necesarias para implementar, mantener y auditar un sistema de gestión basado en la norma ISO 27001. La realización de este diplomado de excelencia constituye una medida fundamental para asegurar la protección de la información en una organización.
Puede formar parte de la siguiente convocatoria para este diplomado inscribiéndose aquí.