Como-evaluar-las-consecuencias-y-la-probabilidad-en-el-analisis-de-riesgos-ISO-27001

El crecimiento exponencial de los ataques cibernéticos y la dependencia cada vez mayor de las organizaciones por los recursos tecnológicos son razones suficientes para realizar un análisis de riesgos ISO 27001. La norma no dice cómo realizar un análisis de riesgos ISO 27001, pero sí que hay que evaluar las consecuencias y las probabilidades e identificar activos, amenazas y vulnerabilidades.

El análisis de riesgos ISO 27001 tiene, por tanto, una enorme importancia. Se consigue evaluando las consecuencias o el impacto que sufriría la organización si el riesgo llegara a materializarse. La probabilidad de que el riesgo ocurra es el otro factor a tener en cuenta a la hora de asignar un nivel de importancia al riesgo.

¿Qué es y cuándo debemos realizar un análisis de riesgos ISO 27001?

El análisis de riesgos es una técnica de recopilación de información sobre procesos y sistemas utilizados en la organización que pretende mejorar la administración y el uso de esos recursos, así como protegerlos antes las vulnerabilidades que pudiesen encontrar. Para ello, se debe controlar la probabilidad de que ocurran determinados eventos y las consecuencias que ellos pueden traer para la organización.

Existen muchas formas de realizar un análisis de riesgos ISO 27001. Pero lo más importante es entender la fórmula que determina la importancia de un riesgo. Esta se puede calcular multiplicando la vulnerabilidad de un activo por la importancia para la organización. Así, cuanto más vulnerable es un elemento, y cuanto más importante es para la organización, mayor es el riesgo que supone. Entonces, la inversión para disminuir ese riesgo tendrá que ser mayor.

El análisis de riesgos es una técnica que obedece a un ciclo y debe realizarse de forma periódica. Al llegar al final del ciclo, se puede recomenzar la fase de recolección de información nuevamente. La idea es asegurar una mejora continua de los procesos, pues el avance diario de la tecnología implica mayores riesgos para la organización.

El #AnálisisRiesgos en #ISO27001 resulta esencial para el cumplimiento de los requisitos de la norma. Aprende cómo hacerlo en 5 pasos. Clic para tuitear

Cómo realizar un análisis de riesgos ISO 27001

Existen varias formas para realizar un análisis de riesgos ISO 27001 o para cumplir el requisito de cualquier otro estándar de ISO. El modelo que compartimos hoy, por considerarlo el más eficaz y el más fácil de adaptar a todo tipo de organizaciones, se lleva a cabo en 5 pasos. Veamos:

Paso 1. Conseguir información sobre amenazas

En esta etapa recopilamos información sobre los procesos y las amenazas a las que está expuesta la organización. En este momento resulta esencial la participación de gerentes de TI, encargados de los procesos, directores de área o de departamento. Una lluvia de ideas, por descabelladas que sean algunas de ellas, resultará de gran utilidad. Algunos ejemplos de amenazas que se identifican típicamente en un buen número de organizaciones son:

  • Pérdida de datos accidental.
  • Pérdida de datos intencional.
  • Incendio en el centro de datos.
  • Software obsoleto o sin licencia.
  • Empleados sin formación.
  • Robo o destrucción de equipos.

Después de identificar todas las amenazas, es preciso realizar una lista que las englobe a todas, para luego insertarlas en una matriz de riesgos.

Paso 2. Crear una matriz de riesgos para cada elemento de la lista

Existen también varios modelos de matrices de riesgo. Sin embargo, el más común y más fácil de utilizar es el que utiliza dos ejes: probabilidad de ocurrencia, e impacto. Cada uno de estos ejes está compuesto por 5 niveles así:

  • Eje de Probabilidad:
  1. Casi seguro.
  2. Alto.
  3. Medio.
  4. Bajo.
  5. Raro.
  • Eje de Impacto:
  1. Muy grave.
  2. Severo.
  3. Medio.
  4. Leve.
  5. Sin impacto.

Para cada riesgo enumerado en la lisa de amenazas, debemos asignar una calificación de uno a cinco, para el eje de probabilidad, así como para el de impacto. Obtendremos, así, una calificación de los riesgos según el punto de intersección de ambos ejes, que corresponderá a un tipo de riesgo más o menos elevado.

Como ejemplo tomemos un elemento de nuestra lista de amenazas, como la pérdida de información. Si es un riesgo de probabilidad media (3), pero de impacto grave (4), obtendríamos un factor de riesgo 12.

Esta calificación resultante de la intersección de los dos ejes en la matriz nos proporciona el potencial de riesgo de esa vulnerabilidad, y, en consecuencia, el camino a seguir para los demás pasos.

Paso 3. Hacer una lista de los riesgos según su importancia

Ahora podemos obtener una lista de riesgos categorizada según su importancia, por orden de gravedad y urgencia de resolución. Lo importante en esta etapa de nuestro análisis de riesgos ISO 27001 es realizar una separación entre lo que es relevante para la seguridad de la información y lo que no lo es. Si no se cuenta con recursos suficientes para gestionar todos los riesgos, es mejor retirar los menos relevantes y concentrar esfuerzos en los más importantes.

Paso 4. Diseñe acciones correctivas

Este es el paso más importante de todo el proceso, pues es donde tomamos acciones pare evitar, prevenir, mitigar, compartir o tolerar un riesgo. Después de identificar y asignar un valor numérico de importancia a las vulnerabilidades encontradas, definimos esa acción definitiva.

Lo ideal sería eliminar todos los riesgos, pero eso nunca será posible. Aquellos que no se puedan eliminar, podrían ser objeto de acciones que mitiguen su impacto. Otros tendrán que ser compartidos o trasladados a un proveedor externo, y otros, finalmente tendrán que ser tolerados. En este punto, la orientación de los expertos en seguridad de la información, consultores y personal especializado, será de gran ayuda.

Paso 5. Continuar con la evaluación

Después de seguir los cuatro pasos anteriores, y cuando ya hemos implementado las acciones descritas en el paso anterior, es preciso diseñar e implementar un sistema que permita el monitoreo constante. El objetivo es evaluar los resultados de las acciones propuestas, verificar la aparición de nuevas vulnerabilidades y corroborar el nivel de importancia de las amenazas, ya que algunas de ellas pueden dejar de serlo o reducir su nivel de afectación.

Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013

La evaluación y el análisis de riesgos son solo dos de las competencias que adquieren los estudiantes del Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013. Con este programa de excelencia, los alumnos podrán implementar, mantener y auditar un Sistema de Gestión de Seguridad de la Información, basado en la norma ISO 27001.

¿La seguridad de la información es un tema relevante para su organización? Asegure su participación en este importante programa de formación inscribiéndose ahora.