La evaluación y tratamiento de riesgos en ISO 27001 es un punto imprescindible para implantar un sistema de gestión de seguridad de la información. Forma parte del corazón de este estándar internacional, pero conseguir que esa tarea sea efectiva requiere conocer y aplicar correctamente el proceso.

Por ello, presentamos 6 pasos básicos para realizar la evaluación y tratamiento de riesgos en ISO 27001 de forma adecuada y siguiendo las buenas prácticas que promueve la norma.

Pasos básicos en la evaluación y tratamiento de riesgos en ISO 27001

ISO 27001 es un estándar que insta a la organización a identificar los incidentes que pueden ocurrir y que pueden representar un riesgo para la seguridad de la información. Además, la organización debe implementar acciones adecuadas para evitarlos, una vez se ha establecido la importancia de cada uno de los eventos.

Para llevar a cabo esta tarea es de gran utilidad recurrir a los 6 pasos que proponemos a continuación:

1. Establecer un marco de gestión de riesgos

Se trata de definir las reglas que regirán la gestión de riesgos. Se determina, entre otras cuestiones, quiénes serán los responsables de las tareas de gestión, los métodos de estimación del impacto y la probabilidad de ocurrencia de los posibles riesgos.

En este sentido, una metodología de evaluación de riesgos debe abordar cuatro temas:

• Cómo serán los criterios de seguridad.
• Qué escala de riesgo se empleará.
• Cuál es el apetito de riesgo de la organización.
• La evaluación de riesgos basada en activos.

2. Identificar los riesgos

La identificación de los riesgos que pueden afectar la confidencialidad, integridad y disponibilidad de la información, es la tarea más larga del proceso de evaluación y tratamiento de riesgos en ISO 27001. Se recomienda optar por un proceso de evaluación de riesgos basado en activos.

Desarrollar una lista de activos de información es un buen punto de partida. Será más fácil comenzar la labor a partir de una lista existente de copias impresas de información, archivos electrónicos, dispositivos móviles e intangibles, etc.

3. Analizar los riesgos

En primer lugar se han de establecer las amenazas y debilidades de cada activo. Por ejemplo, la amenaza puede ser “el robo de un dispositivo móvil” y la debilidad asociada es que “no existe una política establecida con respecto al uso tales dispositivos”. Lo siguiente es asignar un impacto y un valor de probabilidad de acuerdo con los criterios que se hayan establecido en el paso 1.

La #EvaluaciónYTratamientoRiesgos en #ISO 27001 basados en buenas prácticas de seguridad se realiza en 6 pasos que conocemos hoy.
Compartir en X

4. Evaluar los riesgos

Un siguiente paso es la evaluación. En ella, se deberá medir cada uno de los riesgos frente a sus niveles predeterminados de aceptabilidad. Tras eso, se determinará qué riesgos serán abordados y se priorizará en qué orden.

5. Seleccionar opciones de tratamiento de riesgo

En este punto, retomamos las cuatro opciones de la gestión de riesgos clásica, utilizada en gestión de la calidad, de la seguridad y salud en el trabajo o del medio ambiente: 

• Evitar el riesgo eliminándolo por completo.
• Modificar el riesgo, poniendo en marcha controles de seguridad.
• Compartir el riesgo o trasladarlo a un tercero.
• Retener el riesgo, solo si se trata de un nivel aceptable.

6. Compilar informes de riesgos

La norma ISO 27001 requiere que la organización establezca un conjunto de informes sobre la evaluación de riesgos con fines de auditoría y certificación. Para cumplir con ese punto, dos informes resultan imprescindibles:

• Declaración de aplicabilidad: su propósito es crear una lista de verificación según lo recomendado por el Anexo A de ISO 27001. Además, con ella se pretende obtener documentación sobre si se ha establecido el control, si ha sido implementado o no y una justificación para su inclusión o exclusión.
• Plan de tratamiento de riesgos: describe cómo la organización planea gestionar los riesgos identificados en la evaluación de riesgos.

Finalmente, y como colofón a esta ardua tarea, la organización implementa el Plan de Tratamiento de Riesgos, que es, en resumen, el momento en que se pasa de la teoría a la práctica. Es aquí donde comprobamos que lo que hicimos sobre el papel, en verdad funciona en la realidad. Por supuesto, es probable que sean necesarios algunos ajustes, antes de iniciar la redacción del documento final.

Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013

La evaluación y tratamiento de riesgos en ISO 27001 es un punto fundamental de la norma que será estudiado junto a todos los demás en el Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013. Tras su realización un alumno será capaz de implementar y auditar un SGSI en cualquier tipo de organización.

No dude en convertirse en un experto en seguridad de la información matriculándose en este curso formativo aquí.

La entrada 6 pasos básicos en la evaluación y tratamiento de riesgos en ISO 27001 se publicó primero en Escuela Europea de Excelencia.

El crecimiento exponencial de los ataques cibernéticos y la dependencia cada vez mayor de las organizaciones por los recursos tecnológicos son razones suficientes para realizar un análisis de riesgos ISO 27001. La norma no dice cómo realizar un análisis de riesgos ISO 27001, pero sí que hay que evaluar las consecuencias y las probabilidades e identificar activos, amenazas y vulnerabilidades.

El análisis de riesgos ISO 27001 tiene, por tanto, una enorme importancia. Se consigue evaluando las consecuencias o el impacto que sufriría la organización si el riesgo llegara a materializarse. La probabilidad de que el riesgo ocurra es el otro factor a tener en cuenta a la hora de asignar un nivel de importancia al riesgo.

¿Qué es y cuándo debemos realizar un análisis de riesgos ISO 27001?

El análisis de riesgos es una técnica de recopilación de información sobre procesos y sistemas utilizados en la organización que pretende mejorar la administración y el uso de esos recursos, así como protegerlos antes las vulnerabilidades que pudiesen encontrar. Para ello, se debe controlar la probabilidad de que ocurran determinados eventos y las consecuencias que ellos pueden traer para la organización.

Existen muchas formas de realizar un análisis de riesgos ISO 27001. Pero lo más importante es entender la fórmula que determina la importancia de un riesgo. Esta se puede calcular multiplicando la vulnerabilidad de un activo por la importancia para la organización. Así, cuanto más vulnerable es un elemento, y cuanto más importante es para la organización, mayor es el riesgo que supone. Entonces, la inversión para disminuir ese riesgo tendrá que ser mayor.

El análisis de riesgos es una técnica que obedece a un ciclo y debe realizarse de forma periódica. Al llegar al final del ciclo, se puede recomenzar la fase de recolección de información nuevamente. La idea es asegurar una mejora continua de los procesos, pues el avance diario de la tecnología implica mayores riesgos para la organización.

El #AnálisisRiesgos en #ISO27001 resulta esencial para el cumplimiento de los requisitos de la norma. Aprende cómo hacerlo en 5 pasos.
Compartir en X

Cómo realizar un análisis de riesgos ISO 27001

Existen varias formas para realizar un análisis de riesgos ISO 27001 o para cumplir el requisito de cualquier otro estándar de ISO. El modelo que compartimos hoy, por considerarlo el más eficaz y el más fácil de adaptar a todo tipo de organizaciones, se lleva a cabo en 5 pasos. Veamos:

Paso 1. Conseguir información sobre amenazas

En esta etapa recopilamos información sobre los procesos y las amenazas a las que está expuesta la organización. En este momento resulta esencial la participación de gerentes de TI, encargados de los procesos, directores de área o de departamento. Una lluvia de ideas, por descabelladas que sean algunas de ellas, resultará de gran utilidad. Algunos ejemplos de amenazas que se identifican típicamente en un buen número de organizaciones son:

• Pérdida de datos accidental.
• Pérdida de datos intencional.
• Incendio en el centro de datos.
• Software obsoleto o sin licencia.
• Empleados sin formación.
• Robo o destrucción de equipos.

Después de identificar todas las amenazas, es preciso realizar una lista que las englobe a todas, para luego insertarlas en una matriz de riesgos.

Paso 2. Crear una matriz de riesgos para cada elemento de la lista

Existen también varios modelos de matrices de riesgo. Sin embargo, el más común y más fácil de utilizar es el que utiliza dos ejes: probabilidad de ocurrencia, e impacto. Cada uno de estos ejes está compuesto por 5 niveles así:

• Eje de Probabilidad:

1. Casi seguro.
2. Alto.
3. Medio.
4. Bajo.
5. Raro.

• Eje de Impacto:

1. Muy grave.
2. Severo.
3. Medio.
4. Leve.
5. Sin impacto.

Para cada riesgo enumerado en la lisa de amenazas, debemos asignar una calificación de uno a cinco, para el eje de probabilidad, así como para el de impacto. Obtendremos, así, una calificación de los riesgos según el punto de intersección de ambos ejes, que corresponderá a un tipo de riesgo más o menos elevado.

Como ejemplo tomemos un elemento de nuestra lista de amenazas, como la pérdida de información. Si es un riesgo de probabilidad media (3), pero de impacto grave (4), obtendríamos un factor de riesgo 12.

Esta calificación resultante de la intersección de los dos ejes en la matriz nos proporciona el potencial de riesgo de esa vulnerabilidad, y, en consecuencia, el camino a seguir para los demás pasos.

Paso 3. Hacer una lista de los riesgos según su importancia

Ahora podemos obtener una lista de riesgos categorizada según su importancia, por orden de gravedad y urgencia de resolución. Lo importante en esta etapa de nuestro análisis de riesgos ISO 27001 es realizar una separación entre lo que es relevante para la seguridad de la información y lo que no lo es. Si no se cuenta con recursos suficientes para gestionar todos los riesgos, es mejor retirar los menos relevantes y concentrar esfuerzos en los más importantes.

Paso 4. Diseñe acciones correctivas

Este es el paso más importante de todo el proceso, pues es donde tomamos acciones pare evitar, prevenir, mitigar, compartir o tolerar un riesgo. Después de identificar y asignar un valor numérico de importancia a las vulnerabilidades encontradas, definimos esa acción definitiva.

Lo ideal sería eliminar todos los riesgos, pero eso nunca será posible. Aquellos que no se puedan eliminar, podrían ser objeto de acciones que mitiguen su impacto. Otros tendrán que ser compartidos o trasladados a un proveedor externo, y otros, finalmente tendrán que ser tolerados. En este punto, la orientación de los expertos en seguridad de la información, consultores y personal especializado, será de gran ayuda.

Paso 5. Continuar con la evaluación

Después de seguir los cuatro pasos anteriores, y cuando ya hemos implementado las acciones descritas en el paso anterior, es preciso diseñar e implementar un sistema que permita el monitoreo constante. El objetivo es evaluar los resultados de las acciones propuestas, verificar la aparición de nuevas vulnerabilidades y corroborar el nivel de importancia de las amenazas, ya que algunas de ellas pueden dejar de serlo o reducir su nivel de afectación.

Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013

La evaluación y el análisis de riesgos son solo dos de las competencias que adquieren los estudiantes del Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013. Con este programa de excelencia, los alumnos podrán implementar, mantener y auditar un Sistema de Gestión de Seguridad de la Información, basado en la norma ISO 27001.

¿La seguridad de la información es un tema relevante para su organización? Asegure su participación en este importante programa de formación inscribiéndose ahora.

La entrada Cómo evaluar las consecuencias y la probabilidad en el análisis de riesgos ISO 27001 se publicó primero en Escuela Europea de Excelencia.