Un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO 27001 se fundamenta principalmente en la identificación y análisis de las principales amenazas para, a partir de este punto de partida, poder establecer una evaluación y planificación de dichos riesgos.
Una amenaza se puede definir como cualquier evento que puede afectar los activos de información y se relaciona, principalmente, con recursos humanos, eventos naturales o fallas técnicas. Algunos ejemplos pueden ser: ataques informáticos externos, infecciones con malware, una inundación, un incendio o cortes de fluido eléctrico.
Pero en ocasiones basta una omisión o despiste por parte del personal de la empresa, como el uso de una simple pulsera imantada, para que se pueda llegar a producir un daño grave, e incluso irreparable, de la información.
En definitiva, se trata de elaborar una adecuada gestión de riesgos que permita a las organizaciones conocer cuáles son las principales vulnerabilidades de sus activos de información.
Un correcto proceso de identificación de riesgos implica:
- Identificar todos aquellos activos de información que tienen algún valor para la organización.
- Asociar las amenazas relevantes con los activos identificados.
- Determinar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas.
- Identificar el impacto que podría suponer una pérdida de confidencialidad, integridad y disponibilidad para cada activo.
La norma ISO 27001 otorga un peso cualitativo muy importante a la Dirección, la cual debe ejercer el liderazgo del sistema de seguridad.
Análisis y evaluación de los riesgos y sus consecuencias
Se debe analizar el impacto en el negocio de un fallo de seguridad que suponga la pérdida de confidencialidad, integridad o disponibilidad de un activo de información, evaluando de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades e impactos en los activos.
Además de riesgo en sí, es necesario analizar también sus consecuencias potenciales, que son muchas y de distinta gravedad: desde una simple dispersión de la información a la pérdida o robo de datos relevantes o confidenciales.
Una posible metodología de evaluación de riesgos estaría compuesta de las siguientes fases:
- Recogida y preparación de la información.
- Identificación, clasificación y valoración los grupos de activos.
- Clasificación de las amenazas tras su previa identificación.
- Identificación y estimación de las vulnerabilidades.
- Identificar, tipificar y valorar los impactos.
- Evaluación y análisis del riesgo.
Criticidad del riesgo
Por este motivo, se deben evaluar las consecuencias potenciales para poder evaluar su criticidad: riesgo aceptable y riesgo residual.
Riesgo aceptable
No se trata de eliminar totalmente el riesgo, ya que muchas veces no es posible ni tampoco resultaría rentable, sino de reducir su posibilidad de ocurrencia y minimizar las consecuencias a unos niveles que la organización pueda asumir, sin que suponga un perjuicio demasiado grave a todos los niveles: económico, logístico, de imagen, de credibilidad, etc.
Riesgo residual
Se trata del riesgo que permanece y subsiste después de haber implementado los debidos controles, es decir, una vez que la organización haya desarrollado completamente un SGSI. Es un reflejo de las posibilidades de que ocurra un incidente, pese a verse implantado con eficacia las medidas evaluadoras y correctoras para mitigar el riesgo inherente.
El compromiso del liderazgo
La norma ISO 27001 otorga un peso cualitativo muy importante a la Dirección, la cual debe ejercer el liderazgo del sistema de seguridad. A partir de aquí, se debe establecer un plan de trabajo en el que quede perfectamente definida la segregación de tareas. Dicho de otro modo: se tiene que establecer con exactitud quién tiene que hacer cada función y cómo ejecutarla.
Los dueños del riesgo según ISO 27001
La norma ISO 27001 establece la figura de "Dueño del Riesgo", asociándose cada amenaza potencial o real a un responsable, que es la persona que se asegura que se lleven a cabo las distintas actividades. Dicho responsable no tiene por qué ser la persona que finalmente ejecuta los controles, sino alguien que se responsabiliza de que realmente los controles se están llevando a cabo acorde a lo establecido.
Por lo tanto, es necesario definir la estructura organizacional del SGSI, seleccionado el personal idóneo dependiendo del tamaño de la empresa y el alcance definido para la implantación del SGSI. De acuerdo a las dos anteriores variables, se puede determinar el número de profesionales con los perfiles necesarios que formarán parte del grupo de seguridad de la información de la institución.
Tomado de: https://www.pmg-ssi.com/
No hay comentarios.:
Publicar un comentario