Dentro del Sistema de Gestión de la Seguridad de la Información según la Norma ISO 27001, la evaluación de riesgos es una actividad transversal que hay que realizar con eficacia.
La gestión eficaz de los riesgos se encuentra presente en otros sistemas de gestión como la Norma ISO 9001, Sistema de Gestión de la Calidad o la Norma ISO 14001, Sistema de Gestión Ambiental, cobrando cada vez mayor relevancia para el futuro y la toma de decisiones estratégicas dentro de las distintas empresas.
En el caso del Sistema de Gestión de la Seguridad de la Información, la gestión de riesgos es esencial y para ello es necesario llevar a cabo una serie de actividades que garantizarán que se ejecuta de forma eficaz.
En este artículo voy a hablar del proceso de la gestión de riesgos dentro de la Norma ISO 27001, centrándome de forma más detallada en las primeras etapas del mismo y realizando una numeración del resto.
La importancia de la gestión del riesgo.
Tenemos que partir de la base de que los sistemas de gestión definen el riesgo como el efecto de la incertidumbre, ya sea positivo como negativo, debido a la falta de información completa y/o veraz sobre una situación, proceso o procedimiento.
De esta forma, la gestión del riesgo viene a apoyar las decisiones estratégicas que buscan la prevención de situaciones adversas futuras y así transformarlas y aprovecharlas de forma eficaz para la mejora continua.
Existen numerosas herramientas para realizar esta gestión del riesgos como AMFE (Análisis Modal de Fallos y Efectos), Lluvia de Ideas o la metodología MAGERIT (para más información sobre otras herramientas existentes recomiendo consultar el artículo “Herramientas para la gestión del riesgo en las organizaciones”), y que se elegirán y aplicarán según se adapten a las necesidades y características de la organización concreta.
En el artículo “Los riesgos, oportunidades y la mejora en la Norma ISO 27001:2014” ya habíamos establecido una imagen general de las etapas que conllevarían una eficaz y adecuada gestión de los riesgos, sin embargo, esta gestión no es genérica y variará ampliándose según la empresa que la lleve a cabo. A forma de guía, a continuación incluyo las etapas, centrándome más en las iniciales por su relevancia para que la gestión se realice de forma correcta, de la identificación, valoración, tratamiento y verificación de los riesgos y oportunidades de una organización.
Elaboración del listado de inventarios en activo.
Como base, identificar los elementos indispensables para el funcionamiento y la realización del producto y/o servicio al que se dedica la empresa, permite obtener una imagen clara y definida de los elementos o activos que sirven como soporte de los procesos de negocio. De esta forma, aporta una imagen definitiva y documentada que va a servir de soporte para numerosos procedimientos del sistema de gestión y la toma de decisiones estratégicas, pero además va a asentar los cimientos de la gestión de los distintos riesgos a los que se enfrenta o puede enfrentarse la empresa.
A la hora de realizar esta identificación y las dependencias entre los distintos elementos, se debe partir del estudio del funcionamiento de los servicios respondiendo a preguntas como: ¿Qué información es necesaria para prestar el servicio? o ¿Dónde se almacena esta información?
Con las respuestas a las distintas preguntas que hemos realizado, se elaborará un inventario de activos que debe incluir una serie de datos básicos como por ejemplo:
- nombre
- descripción
- categoría, es decir, software, servicio o personal, por poner unos ejemplos
- ubicación física donde se encuentra
- dependencias con otros activos
- valor del activo en relación con la confidencialidad, disponibilidad e integridad, estableciéndose valores para cada uno de estos activos a partir de unos criterios normalizados y objetivos.
Identificar y realizar la valoración de las amenazas.
Avanzando más en la gestión de los riesgos, es el momento de realizar el análisis de los riesgos elaborando un catálogo de las distintas amenazas que se encuentran en el horizonte previsible de la empresa. Algunos ejemplos clásicos y genéricos para las distintas empresas de estas amenazas son el fuego, los cortes de suministro eléctrico o los errores de usuarios.
Partiendo de este catalogo y relacionándolo con la lista de activos, es el momento de valorar la vulnerabilidad de cada uno de los distintos activos teniendo en cuenta la degradación a la que están expuestos y su probabilidad frente a las amenazas. Estos dos valores quedarán reflejados en una escala que puede ser de 0 a 3, siendo 0 sin degradación y 3 degradación alta, o 0 muy baja la probabilidad y 3 alta probabilidad.
Calcular el impacto de las amenazas.
Una vez tenemos identificar los activos y las amenazas que afectan cada uno de ellos, el siguiente paso es calcular el impacto en función del valor del activo y de la degradación que produciría la amenaza en el caso de que esta situación llegue a producirse.
Es interesante destacar que este impacto debe estudiarse sin tener en cuenta las medidas de seguridad que se están llevando a cabo en este momento, ya que si las incluimos tamizarían el riesgo máximo de cada activo y podría provocar que riesgos existentes no se consideraran como tal.
Calcular el riesgo.
Con los valores anteriores por cada activo hay que cuantificar el riesgo para cada amenaza identificada y comparar los distintos activos en razón a estos valores y las dependencias entre ellos, calculando el riesgo para el servicio y funcionamiento de la empresa.
Si los valores utilizados son correctos y mantenemos documentado todo el proceso y los métodos de cálculo, podrá revisarse de forma periódica para actualizar y mantener de forma viva y eficaz la gestión de los riesgos.
Tratamiento de los riesgos.
Por último, para realizar una correcta gestión del riesgo no podemos quedarnos aquí sino que es necesario avanzar, decidiendo como se va a tratar cada uno de ellos, diferenciando si se van a asumir, transferir, eliminar o mitigar, en la medida de lo posible, o controlar para mantenerlo en un grado determinado, cuya decisión recaerá en manos del propietario del riesgo.
Para ello, es necesario:
- Determinar la estrategia para reducir los riesgos mediante la aplicación de medidas de seguridad.
- Identificar las medidas de seguridad para reducir el riesgo a un nivel deseable en función de las amenazas identificadas.
- Una vez determinados los controles, se revisarán los que se incluyen dentro del documento ISO 27001 para verificar que no se ha dejado en el tintero ninguno considerado como relevante.
- Documentar las decisiones de la sección de controles, así como de los anteriores pasos realizados.
- Una vez seleccionados los controles y teniendo en cuenta los ya implantados, se debe repetir el análisis de riesgos siguiendo la misma metodología empleada y considerando la seguridad implantada en la valoración de la degradación y frecuencia de las amenazas.
- Elaboración del Informe de gestión de riesgos.
- Elaboración del plan de tratamiento de riesgos con especial incidencia en la trazabilidad de las medidas a implantar y los riesgos que se pretenden mitigar con ellos, así como las responsabilidades y métricas, relacionadas con la confidencialidad, disponibilidad e integridad.
- Apoyar la gestión del riesgo con formación y concienciación específica.
- Y, por último, realizar verificaciones y validaciones periódicas que permitan mantener actualizada y eficaz la gestión de los riesgos realizada.
Tomado de: https://www.sbqconsultores.es