Uno de los puntos más importantes de ISO 27001 es el análisis de riesgos para determinar las acciones, los controles y tratamientos a realizar, los objetivos a cumplir, entre otros.
Es muy importante que este proceso esté documentado y lo más sistematizado posible para conseguir que los resultados no varíen demasiado de acuerdo a la percepción de la persona que haga el análisis. Otro punto importante es la comparación de resultados de los diferentes análisis que hagamos a lo largo del tiempo para poder determinar si las acciones realizadas están suponiendo una mejora real para la Seguridad de la Información de la organización.
El análisis de riesgos es una actividad que requiere atención y concentración, para lo cual te compartimos las siguientes recomendaciones:
Establecer los criterios
El primer paso que marca la norma ISO 27001 es fijar los criterios de aceptación o rechazo, así como la probabilidad y severidad, cómo será su interacción, determinación del riego aceptable y, en caso de que no se acepte, la nueva valoración y tratamiento del riesgo.
Identificar los riesgos para la seguridad de la información
Esta actividad se puede realizar mediante una lluvia de ideas, se recomienda que la desarrollen distintas personas durante varias semanas, lo que evitará cometer errores importantes. La forma más sencilla de identificar los riesgos de manera sistemática, evitando olvidar los riesgos más importantes, es a través de los siguientes pasos:
o Paso 1 – Identificar los activos:
Disponer un inventario exhaustivo de los activos de información de la organización.
o Paso 2 – Listar las amenazas:
Cada empresa está sometida a un conjunto de amenazas intrínsecas a su actividad y ubicación, como incendios, inundaciones, virus informáticos, robos, sobornos, terremotos, errores humanos, entre otros.
o Paso 3 – Detectar las vulnerabilidades:
Ahora toca cruzar cada activo con cada amenaza, para determinar si dicho activo es vulnerable a dicha amenaza. De esta combinación, nacerán los riesgos de la seguridad de la información de nuestra organización.
Las vulnerabilidades de un activo frente a una amenaza siempre están asociadas a la pérdida de la confidencialidad de la información que contiene, la Integridad de la misma y su disponibilidad a la hora de ser utilizada por las personas que la necesiten. Estos tres conceptos nos ayudarán también a identificar las vulnerabilidades de cada activo y sus riesgos.
Es requisito de la norma ISO 27001 el que cada riesgo identificado tenga un dueño; normalmente dicho responsable será el dueño o gestor del activo sobre el que actúa el riesgo, o la persona que puede aplicar medidas preventivas sobre el mismo. Por ejemplo, sobre los equipos informáticos no suele ser el usuario de cada equipo, sino el jefe de informática que gestiona su seguridad y su contenido.
Probabilidad e impacto
En este paso analizaremos los riesgos identificados en el paso anterior. Para determinar la importancia de un riesgo utilizaremos al menos dos parámetros: la probabilidad y el impacto. La probabilidad es aquella que tiene el riesgo de materializarse, mientras que el impacto son las consecuencias potenciales que tendría si éste llega a suceder.
Con estos dos factores, y alguno más que podemos incluir, aplicaremos una fórmula de cálculo que nos diga el nivel de riesgo de cada uno de los riesgos identificados.
Evaluar los riesgos
Una vez teniendo los riesgos identificados, hemos analizado su probabilidad y su posible impacto, según su nivel de riesgo. Para lo cual, compararemos cada nivel de riesgo con los valores límite que hayamos prefijado, clasificando cada uno como tolerable o intolerable.
Los riesgos que se califiquen como inaceptables deberán ser corregidos mediante nuevos controles en el Plan de Tratamiento de Riesgos. Por su parte, los que consideremos aceptables serán tratados como riesgos residuales.
Es requisito de la norma que se guarden evidencias de la valoración de los riesgos. Así que deberemos documentar cómo y porqué se fijaron los criterios, cómo realizamos la identificación de los riesgos, y el análisis y evaluación de éstos.
Un sistema de gestión de seguridad de la información basado en la norma ISO 27001 se fundamenta principalmente en la identificación y análisis de las principales amenazas, para que a partir de este punto de partida se pueda establecer una evaluación y una planificación de dichos riesgos. Una amenaza se puede definir como cualquier evento que puede afectar los activos de información y se relaciona principalmente con recursos humanos, eventos naturales o fallas técnicas.
Una vez que se tengan identificadas las amenazas, se establecen controles y sistemas de monitoreo para cada una de ellas, lo que nos ayudará a tener un análisis controlado.
Un correcto proceso de identificación de riesgos implica:
- Identificar todos aquellos activos de información que tienen algún valor para la organización.
- Asociar las amenazas relevantes con los activos identificados.
- Determinar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas.
- Identificar el impacto que podría suponer una pérdida de confidencialidad, integridad y disponibilidad para cada activo.
- Identificar los controles para los riesgos.
En resumen, la metodología de la evaluación de riesgos estaría compuesta por las siguientes fases:
- Recogida y preparación de la información.
- Identificación, clasificación y valoración los grupos de activos.
- Reconocimiento y clasificación de las amenazas.
- Identificación y estimación de las vulnerabilidades.
- Establecimiento y valoración de impactos: identificar, tipificar y valorar los impactos.
- Evaluación y análisis del riesgo.
- Establecimiento de controles.
- Actualización del análisis de riesgo frecuentemente y tomar en consideración los cambios en las amenazas presentadas o los nuevos riesgos identificados.