La evaluación de riesgos basada en activos en ISO 27001 es una de las formas que tienen a sus disposición las organizaciones que han adoptado el estándar internacional para identificar amenazas relevantes para los objetivos de seguridad de la información. Otra forma de llevarlo a cabo sería la evaluación de amenazas basada en escenarios.
La evaluación de riesgos basada en activos en ISO 27001 se diferencia de la evaluación basada en escenarios, en que se enfoca en los dispositivos, ordenadores, software, bases de datos e, incluso, estructuras destinadas al almacenamiento de documentos en papel y, por supuesto, algunas personas. En tanto que la segunda, la evaluación de escenarios, se enfoca en los hechos o circunstancias que, en su conjunto, conforman un marco proclive a la generación de riesgos para la seguridad de la información.
A continuación, explicamos a través de una breve guía el paso a paso para realizar una evaluación de riesgos basada en activos en ISO 27001. Un tipo de análisis que, por su efectividad, es utilizado en un gran número de organizaciones que hoy gestionan la seguridad de la información acudiendo al estándar internacional ISO 27001.
Evaluación de riesgos basada en activos en ISO 27001 – ¿Cómo realizarla?
El análisis de riesgos pretende predecir e identificar un hecho o una cadena de hechos que, de ocurrir, pueden producir un impacto negativo o impedir que se alcance un determinado objetivo.
La tarea es importante y es obligatoria a la luz de lo dispuesto por ISO 27001. Para algunas organizaciones, este tipo de evaluaciones puede ser imperativa porque algún marco regulatorio así lo determine. Para las organizaciones que eligen el método evaluativo basado en activos, seguir estos pasos las llevará por el camino indicado:
1. Obtener un inventario de activos
El primer paso es obtener un inventario de todos los activos que procesan, transmiten, tratan o almacenan información de la organización. Esto incluye dispositivos, software, hardware, bases de datos, pero también, y esto es muy importante, muebles y estructuras en los que se almacena información en papel o en medios magnéticos.
Las personas, sobre todo en modelos de teletrabajo, se convierten también en activos de información.
2. Establecer los propietarios de los activos
Los propietarios de activos son las personas, grupos de personas u organizaciones encargadas del uso de un activo y, en consecuencia, de la seguridad de la información. El propietario del activo, que puede o no ser propietario del riesgo, y usualmente lo es, es el punto de partida para identificar amenazas.
Esta es la razón por la que esta metodología basada en activos para la evaluación de riesgos supone mayor efectividad. Si el inventario de activos y de propietarios es completo, difícilmente quedará algo fuera del análisis.
3. Entrevistar a los propietarios de los activos
Con la lista de propietarios y sus activos relacionados podemos identificar con ayuda de ellos –propietarios-, cuáles son las amenazas y vulnerabilidades propias del activo.
En este punto, se asume el modelo de escenarios, solo que es específico para cada activo, y no general, que es lo que lo hace poco técnico y preciso.
La evaluación de #Riesgos basada en activos en #ISO27001 permite conocer las amenazas a la #SeguridadInformación y su impacto real. Aprende cómo hacerlo #SGSI #Ciberseguridad Clic para tuitear4. Categorizar los riesgos
En este paso, la evaluación de riesgos basada en activos en ISO 27001 toma el rumbo tradicional de la gestión de riesgos en esta y en cualquier área. Tras la identificación de los riegos, lo siguiente es establecer la probabilidad de ocurrencia y la capacidad de impacto negativo para así, establecer qué posición ocuparán en un listado categorizado.
Por supuesto, los primeros tendrán mayor atención y se asignarán mayores recursos a su tratamiento. Interés que descenderá junto con la posición del riesgo en la lista.
5. Establecer acciones de tratamiento
Continuando con la gestión tradicional de riesgos, los profesionales definirán si el riesgo puede ser eliminado, minimizado, compartido o tendrá que ser aceptado, todo ello dependiendo del coste de cada acción, comparado con el coste de la ocurrencia del evento generador del riesgo.
La evaluación de riesgos basada en activos en ISO 27001 es una tarea para profesionales especializados en el área y, sobre todo, con un profundo conocimiento de la norma. Estos profesionales encontrarán en la digitalización del Sistema de Gestión de Seguridad de la Información, el apoyo necesario para alcanzar los objetivos de seguridad de la información corporativos.
Automatización y Transformación Digital, acompañadas de formación y conocimiento, forman el equipo de trabajo ideal para prevenir riesgos contra la seguridad de la información.
Diplomado en Seguridad de la Información – ISO 27001
El Diplomado en Seguridad de la Información ISO/IEC 27001 es un programa diseñado por profesionales reconocidos y expertos en este campo que gozan de prestigio internacional.
Este programa de excelencia, además de sus expertos docentes, ofrece un título como experto en Seguridad de la Información, otro como Auditor Interno de Sistemas de Gestión de SI y, finalmente, la posibilidad de obtener el Certificado del Registro Europeo de Auditores Certificados (ERCA).
Para tomar este programa, el programa de becas Excellence de la Escuela Europea de Excelencia te apoyará, si cumples con algunas condiciones.
O puedes iniciar tu formación especializada en ISO 27001 ahora mismo.
