Conocemos muchas organizaciones, que se esfuerzan en utilizar herramientas de evaluación de riesgos, como parte de su proyecto de implementación de la norma ISO 27001. El resultado suele ser una gran inversión de tiempo y dinero y muy pocos beneficios.
La evaluación de riesgos según ISO 27001, es un proceso en el cual una organización debe identificar los riesgos de seguridad de su información y determinar la probabilidad de ocurrencia y su impacto.
Básicamente, la organización debe reconocer todos los posibles problemas que pueden afectar a su información, la probabilidad de que esto ocurra y que consecuencias traería. El propósito de la evaluación de riesgos según ISO 27001 es identificar que controles son necesarios para reducir el riesgo, basándose en el Anexo A que especifica 133 de ellos.
¿Cómo se lleva a cabo la evaluación de riesgos según ISO 27001?
La evaluación del riesgo inicia con la identificación y evaluación de los activos, vulnerabilidades y amenazas. Un activo es cualquier cosa que tenga valor para la organización. En términos de información, podemos identificar activos como el hardware, software, personal, infraestructura, datos – en diferentes formas, impresos o digitales – proveedores, socios, etcétera.
Una vulnerabilidad es una debilidad que puede afectar un activo o un control de proceso, que es susceptible de ser convertida en una amenaza. Una amenaza es cualquier evento o suceso que puede dañar un sistema de una organización. En este orden de ideas, una vulnerabilidad es la falta de un antivirus. Esto crea una amenaza que es el ataque de un virus que puede deteriorar o destruir la información almacenada en ordenadores, o el software destinado al tratamiento de la información.
Cuando se trata de organizaciones de menor tamaño – menos de 50 empleados -, no se requiere de herramientas sofisticadas para realizar una evaluación de riesgos. El uso de una hoja de cálculo de Excel, en la que se incorpore una lista de vulnerabilidades y amenazas puede bastar.
Sin embargo, y aunque el proceso no es complicado, organizaciones de mayor tamaño pueden requerir el uso de metodologías un tanto más complejas. Veamos algunos pasos básicos que pueden ayudarlas en este propósito:
6 pasos básicos para la evaluación de riesgos según ISO 27001
Metodología de evaluación del riesgo
Es preciso definir reglas para la gestión del riesgo, que sean utilizadas por toda la organización en la misma forma. Este suele ser un problema común a muchas organizaciones. Es necesario establecer si la organización requiere una evaluación cuantitativa o cualitativa de los riesgos, la escala de medición que se ha de utilizar y los niveles aceptables de riesgo.
Aplicación de la evaluación
Establecidas las reglas, el paso procedente, como ya lo hemos advertido, es hacer una lista de los activos que intervienen en el tratamiento de la información, las vulnerabilidades, sus amenazas, el impacto y las probabilidades, con el fin de calcular el nivel de riesgo.
Implementación
A esta altura del proceso, ya sabremos que no todos los riesgos tienen la misma importancia o la misma probabilidad de ocurrencia. Pero también tendremos claro que algunos de los riesgos que hemos identificado nos muestran niveles inaceptables.
¿Cómo eliminar estos riesgos, o reducir su impacto negativo? Veamos cuatro alternativas:
- Aplicar los controles – 133 – que establece el Anexo A de la norma.
- Transferir el riesgo. Una póliza de seguros suele ser la mejor opción para este caso.
- Identificar el proceso que da origen al riesgo, eliminarlo o modificarlo de tal forma que no se genere la amenaza.
- Aceptarlo, dimensionando sus consecuencias y su impacto real.
El informe
En este paso, solo es necesario documentar lo que se ha hecho hasta aquí, de forma que la información esté disponible para auditores, administradores del sistema, Alta Dirección o cualquier persona que desee establecer comparaciones en el futuro.
Declaración de aplicabilidad
Este documento, de vital importancia durante la auditoría de certificación, establece el perfil de seguridad de la organización, y el registro de los controles que se han implementado y puesto en práctica con el fin de prevenir los riesgos.
El plan de tratamiento de riesgos
La evaluación de riesgos según ISO 27001, no tendría objeto si no se lleva a la práctica. Todo lo que hemos hecho hasta el momento está dentro del campo teórico y es preciso llevarlo a la realidad, mediante un plan de tratamiento de riesgos.
El plan adjudica responsabilidades para el diseño, implementación y puesta en práctica de los controles. Igualmente establece plazos, recursos, presupuesto y acciones de seguimiento.
Todo esto no se produce de la noche a la mañana. La evaluación de riesgos según ISO 27001 es solo el comienzo. El desarrollo de todo el proyecto requiere aprobación de la Alta Dirección, erogación de recursos y en algunos casos, cambio de la cultura organizacional. Así es que es mejor empezar ahora.
Tomado de: https://www.isotools.us/
No hay comentarios.:
Publicar un comentario