martes, 24 de septiembre de 2024

ANÁLISIS DE RIESGOS EN ISO 27001: EVALUAR CONSECUENCIAS Y PROBABILIDADES

Cuando se implementa el análisis de riesgos en ISO 27001, la identificación de activos, amenazas y vulnerabilidades que atañen a la seguridad de la información es tan solo la primera parte del trabajo.

La segunda fase, tan importante como la primera y no menos difícil, implica evaluar las consecuencias y probabilidades de cada riesgo. En otras palabras, la probabilidad de que ocurra y el impacto negativo que supone su ocurrencia.

El tipo de análisis de riesgos en ISO 27001 no está prescrito dentro del cuerpo de la norma. ISO 27001 requiere que la organización evalúe las consecuencias y la probabilidad de cada riesgo, pero no dice cómo hacerlo. Depende de los encargados del sistema decidirlo.

Aunque existen varias formas de analizar consecuencias y probabilidades dentro de la evaluación de riesgos en ISO 27001, existen dos enfoques que resultan prácticos para quienes comienzan su camino en la seguridad de la información.

Dos enfoques para evaluar consecuencias y probabilidades en el análisis de riesgos en ISO 27001.

Antes de entrar en profundidad con estos enfoques, recordemos que, sin importar que modelo se elija el procedimiento debe ser documentado. La finalidad de estos enfoques es evaluar el riesgo para tener una idea sobre las posibilidades de que los objetivos no se alcancen así como poder priorizar aquellos riesgos en los que han de centrarse los mayores esfuerzos.

Los dos enfoques que queremos compartir para evaluar consecuencias y probabilidades en el análisis de riesgos en ISO 27001 son el cualitativo y el cuantitativo:

1. Evaluación de riesgos cualitativa

La evaluación de riesgos cualitativa destaca los mayores riesgos, lo que permite respaldar las decisiones de asignación de recursos. Pero también hace posible que los directores de área y los propietarios de riesgos se pregunten “que pasaría si…” con respecto a las consecuencias de varias acciones de gestión potenciales.

Este tipo de evaluación, dentro del análisis de riesgos en ISO 27001, se puede llevar a cabo de dos formas diferentes:

Evaluación simple

En una evaluación de riesgos simple, se evalúan las consecuencias y las probabilidades directamente. Una vez que identificamos los riesgos, simplemente utilizamos una escala para evaluar por separado las consecuencias y las probabilidades de cada uno de ellos.

Por ejemplo, se puede utilizar una escala de 0 a 4, en donde 0 es una probabilidad muy baja, 1 baja, 2 media, 3 muy probable y 4 extremadamente alta. Igualmente se podría utilizar una escala de 1 a 10. Cuanto mayor sea la escala, más precisos son los resultados, pero también más tiempo requerirá la evaluación.

Así, una evaluación de riesgos simple podría presentarse de esta forma:

En una segunda etapa del #AnálisisRiesgos en #ISO27001 es preciso evaluar las consecuencias y la probabilidad. 

Evaluación detallada de riesgos

En la evaluación detallada de riesgos, además de evaluar esos dos elementos – probabilidad y consecuencia– se evalúa otro adicional: el valor del activo. Para esto, se considera qué tipo de daño podría sucederle si su confidencialidad, integridad o disponibilidad estuviesen en peligro.

Como es lógico, tanto las amenazas como las vulnerabilidades influyen directamente en la probabilidad. Cuanto mayor es la amenaza y mayor es la vulnerabilidad, es más probable que ocurra el riesgo y viceversa.

Por ello, una vez se cuenta con los valores, calcular el riesgo es muy fácil. Es cuestión de realizar una operación matemática a elegir, o bien sumar o bien multiplicar los valores. Después de este cálculo es preciso determinar si los valores obtenidos son aceptables o no, y luego entrar en la etapa de gestión y tratamiento de riesgos.

2. Evaluación de riesgos cuantitativa

La evaluación cuantitativa en un análisis de riesgos en ISO 27001 considera datos puntuales, precisos y medibles, utilizando fórmulas matemáticas y recursos computacionales. De ese modo se calculan los valores de probabilidad e impacto usualmente expresados en cifras monetarias.

Una recomendación adicional: Para la acertada y eficaz gestión del riesgo en lo relacionado con la seguriodad de la información es conveniente complementar con las "directrices" de la norma internacional ISO 31000 y a las técnicas señaladas en ISO 31010.

Tomado de: https://www.escuelaeuropeaexcelencia.com/

ANÁLISIS Y EVALUACIÓN DE RIESGOS EN ISO 27001

Un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO 27001 se fundamenta principalmente en la identificación y análisis de las principales amenazas para, a partir de este punto de partida, poder establecer una evaluación y planificación de dichos riesgos.

Una amenaza se puede definir como cualquier evento que puede afectar los activos de información y se relaciona, principalmente, con recursos humanos, eventos naturales o fallas técnicas. Algunos ejemplos pueden ser: ataques informáticos externos, infecciones con malware, una inundación, un incendio o cortes de fluido eléctrico.

Pero en ocasiones basta una omisión o despiste por parte del personal de la empresa, como el uso de una simple pulsera imantada, para que se pueda llegar a producir un daño grave, e incluso irreparable, de la información.

En definitiva, se trata de elaborar una adecuada gestión de riesgos que permita a las organizaciones conocer cuáles son las principales vulnerabilidades de sus activos de información.

Un correcto proceso de identificación de riesgos implica:

  • Identificar todos aquellos activos de información que tienen algún valor para la organización.
  • Asociar las amenazas relevantes con los activos identificados.
  • Determinar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas.
  • Identificar el impacto que podría suponer una pérdida de confidencialidad, integridad y disponibilidad para cada activo.

La norma ISO 27001 otorga un peso cualitativo muy importante a la Dirección, la cual debe ejercer el liderazgo del sistema de seguridad.

Análisis y evaluación de los riesgos y sus consecuencias

Se debe analizar el impacto en el negocio de un fallo de seguridad que suponga la pérdida de confidencialidad, integridad o disponibilidad de un activo de información, evaluando de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades e impactos en los activos.

Además de riesgo en sí, es necesario analizar también sus consecuencias potenciales, que son muchas y de distinta gravedad: desde una simple dispersión de la información a la pérdida o robo de datos relevantes o confidenciales.

Una posible metodología de evaluación de riesgos estaría compuesta de las siguientes fases:

  1. Recogida y preparación de la información.
  2. Identificación, clasificación y valoración los grupos de activos.
  3. Clasificación de las amenazas tras su previa identificación.
  4. Identificación y estimación de las vulnerabilidades.
  5. Identificar, tipificar y valorar los impactos.
  6. Evaluación y análisis del riesgo.

Criticidad del riesgo

Por este motivo, se deben evaluar las consecuencias potenciales para poder evaluar su criticidad: riesgo aceptable y riesgo residual.

Riesgo aceptable

No se trata de eliminar totalmente el riesgo, ya que muchas veces no es posible ni tampoco resultaría rentable, sino de reducir su posibilidad de ocurrencia y minimizar las consecuencias a unos niveles que la organización pueda asumir, sin que suponga un perjuicio demasiado grave a todos los niveles: económico, logístico, de imagen, de credibilidad, etc.

Riesgo residual

Se trata del riesgo que permanece y subsiste después de haber implementado los debidos controles, es decir, una vez que la organización haya desarrollado completamente un SGSI. Es un reflejo de las posibilidades de que ocurra un incidente, pese a verse implantado con eficacia las medidas evaluadoras y correctoras para mitigar el riesgo inherente.

El compromiso del liderazgo

La norma ISO 27001 otorga un peso cualitativo muy importante a la Dirección, la cual debe ejercer el liderazgo del sistema de seguridad. A partir de aquí, se debe establecer un plan de trabajo en el que quede perfectamente definida la segregación de tareas. Dicho de otro modo: se tiene que establecer con exactitud quién tiene que hacer cada función y cómo ejecutarla.

Los dueños del riesgo según ISO 27001

La norma ISO 27001 establece la figura de "Dueño del Riesgo", asociándose cada amenaza potencial o real a un responsable, que es la persona que se asegura que se lleven a cabo las distintas actividades. Dicho responsable no tiene por qué ser la persona que finalmente ejecuta los controles, sino alguien que se responsabiliza de que realmente los controles se están llevando a cabo acorde a lo establecido.

Por lo tanto, es necesario definir la estructura organizacional del SGSI, seleccionado el personal idóneo dependiendo del tamaño de la empresa y el alcance definido para la implantación del SGSI. De acuerdo a las dos anteriores variables, se puede determinar el número de profesionales con los perfiles necesarios que formarán parte del grupo de seguridad de la información de la institución.

Tomado de: https://www.pmg-ssi.com/

8 PECULIARIDADES DE LA ISO 42001 QUE DEBES CONOCER

La inteligencia artificial (IA) está transformando industrias a nivel global, desde el sector financiero hasta la salud y la manufactura. 

Sin embargo, a medida que su adopción se expande, también crecen los desafíos en torno a la ética, seguridad y transparencia de estos sistemas. 

La ISO 42001 se posiciona como un estándar en desarrollo que busca ofrecer un marco robusto para la gestión de la IA.

A lo largo del siguiente artículo, exploraremos las características clave de ISO/IEC 42001, lo que promete ser un punto de referencia esencial para las organizaciones que buscan implementar IA de manera responsable, segura y efectiva.

1. Gobernanza de la IA: Control y supervisión en ISO 42001

Uno de los aspectos fundamentales de este estándar es la gobernanza de los sistemas de IA. ISO IEC 42001 establece directrices para la creación de políticas que regulen el uso y control de la IA en las organizaciones. Esto implica asegurar que la IA esté alineada con los valores, objetivos y estrategias de la empresa. La gobernanza también incluye la asignación de responsabilidades claras para supervisar el desarrollo, uso y mantenimiento de los sistemas.

¿Por qué es importante? Una sólida gobernanza permite evitar el uso inapropiado de la IA, garantizando que sus resultados sean coherentes con los principios éticos y los objetivos de negocio.

2. Ética y responsabilidad: IA con impacto positivo

La ética es un componente crucial en cualquier sistema de IA. Este estándar asegura que las organizaciones tengan en cuenta el impacto que la IA puede tener en los derechos humanos, la privacidad y la igualdad. Esto incluye medidas para evitar discriminación, sesgo y prácticas injustas.

La responsabilidad de los resultados generados por la IA es otra área crítica. ISO 42001 enfatiza la necesidad de asignar responsabilidades claras por las decisiones tomadas por sistemas automatizados, asegurando que las organizaciones se hagan cargo de los posibles errores o consecuencias imprevistas.

3. Seguridad y confiabilidad: Sistemas IA a prueba de fallos

La IA, al igual que cualquier otra tecnología, presenta riesgos en términos de seguridad. ISO/IEC 42001 establece directrices claras para que los sistemas de IA sean seguros, confiables y robustos. Esto implica minimizar la posibilidad de ciberataques, errores en los algoritmos o fallos que puedan comprometer la integridad de los resultados.

Además, el estándar propone la creación de mecanismos de auditoría y evaluación continua para detectar y corregir fallos antes de que puedan causar daños graves.

4. Transparencia y explicabilidad: Comprender la IA

La transparencia es esencial cuando se trata de inteligencia artificial. ISO IEC 42001 exige que los sistemas de IA sean lo suficientemente transparentes para que las partes interesadas puedan entender cómo funcionan y cómo toman decisiones. Esto incluye la capacidad de explicar el proceso algorítmico que lleva a una decisión específica.

¿Por qué es importante la explicabilidad? Porque genera confianza. Cuando los usuarios entienden cómo se llegó a una decisión, están más dispuestos a confiar en los sistemas de IA y en sus resultados.

5. Gestión de Riesgos: Anticiparse a los problemas

La gestión de riesgos es otro pilar clave de ISO/IEC 42001. El estándar proporciona un marco para identificar, evaluar y mitigar los riesgos asociados con la IA, tanto a nivel operacional como ético. Esto abarca desde la posibilidad de sesgos hasta los riesgos relacionados con la privacidad y seguridad de los datos.

Las organizaciones que implementen prácticas de gestión de riesgos eficaces estarán mejor preparadas para enfrentar los desafíos que la IA plantea en el mundo real.

ISO/IEC 42001 es un estándar que llegará para cambiar las reglas del juego en la gestión de la inteligencia artificial.

6. Calidad de los datos: El corazón de la IA

La calidad de los datos es esencial para el éxito de cualquier sistema de inteligencia artificial. ISO/IEC 42001 subraya la importancia de utilizar datos precisos, relevantes y actualizados. Los algoritmos de IA dependen de estos datos para generar resultados confiables, por lo que garantizar su integridad es fundamental.

¿El resultado? Mejores decisiones y modelos predictivos más precisos que generan valor real para las organizaciones.

7. Mejora Continua: Evolución constante

Al igual que otros estándares ISO, ISO/IEC 42001 promueve la mejora continua de los sistemas de IA. Esto significa que las organizaciones deben adaptarse constantemente a los avances tecnológicos, regulaciones emergentes y nuevos desafíos éticos.

Un enfoque de mejora continua permite que las empresas se mantengan competitivas y estén mejor equipadas para enfrentar el futuro de la inteligencia artificial.

8. Cumplimiento Normativo: Alineación con regulaciones globales

Con regulaciones en constante evolución, como el GDPR en Europa, es crucial que los sistemas de IA se alineen con las normativas locales e internacionales. ISO/IEC 42001 proporciona un marco para asegurar que la IA cumpla con todas las regulaciones aplicables, evitando sanciones y garantizando una implementación ética y legal.

ISO-IEC 42001 es un estándar que llegará para cambiar las reglas del juego en la gestión de la inteligencia artificial. Al proporcionar un marco claro y exhaustivo para la gobernanza, ética, seguridad y transparencia, este estándar guiará a las organizaciones en la adopción responsable de la IA. Si bien aún está en desarrollo, su implementación será clave para que las empresas aprovechen todo el potencial de la IA, minimizando riesgos y maximizando beneficios.

Si quieres que tu organización esté preparada para el futuro de la IA, ISO 42001 será el estándar que marcará la diferencia.

¡Prepárate y mantente a la vanguardia!

Tomado de: https://www.isotools.us/

ISO 42001: EL SIGUIENTE PASO EN LA GESTIÓN DE LA IA

Desde el lanzamiento de ChatGPT en noviembre de 2022, el mundo ha sido testigo de una enorme afluencia de herramientas de inteligencia artificial. Casi todas las semanas había algo nuevo, alucinante e incluso revolucionario. 

Las empresas se sintieron obligadas a comenzar a experimentar con herramientas y, sumado a un salvaje oeste legal, la situación se volvió un poco caótica.

Después de las primeras semanas, empezaron a surgir las primeras inquietudes: ¿debería introducir los datos de su empresa en ChatGPT?, ¿podría utilizar imágenes generadas por Midjourney?, ¿cuál es la calidad y veracidad de los resultados? Esto requiere un enfoque estructurado y estratégico. Uno de esos enfoques es la norma ISO 42001, que se publicó oficialmente el 18 de diciembre de 2023.

¿Qué es?

La norma ISO 42001 introduce el concepto de un sistema de gestión de la IA (AIMS), que también se menciona en la reciente Ley de IA de la UE. Un AIMS está pensado como un marco para implementar y mantener una política de IA dentro de una empresa, de modo que el uso de la IA pueda realizarse en línea con la estrategia más amplia de la empresa. Este tipo de tecnología no es únicamente responsabilidad del departamento de TI, sino que también debe involucrar a los equipos legales y de seguridad de la información para asegurarse de que la política de IA se ajuste a sus otras políticas.

¿Qué pretende conseguir?

Si bien se podría argumentar que la IA podría gestionarse con una combinación de los sistemas de gestión de calidad introducidos en ISO 9001 y 27001, el estándar específico de IA agrega varios objetivos valiosos, como:

  • Introducción de factores de gestión de riesgos que son exclusivos de la IA, como la falta de transparencia, el comportamiento no determinista, la falta de explicabilidad y el sesgo.
  • Considerando el uso ético y responsable de la IA, ¿quién es responsable y tiene los conocimientos suficientes para gestionar un sistema tan complejo? ¿Cuándo se puede y se debe utilizar la IA?
  • Añadir una capa de gestión de datos. Debe comprobar los datos que se utilizan al entrenar un modelo de IA. ¿La calidad es la adecuada y tiene el permiso adecuado para utilizar estos datos? ¿Cuál es la calidad del resultado generado?
  • Un marco para la mejora continua. ¿Cómo se asegura de que el rendimiento del sistema se mantenga constante en las nuevas versiones? ¿El modelo no colapsa cuando continúa iterando sobre sus propios datos?
  • Gestión del ciclo de vida de la IA. Especialmente cuando se trabaja con un sistema de IA que puede ser motivo de preocupación ética (es decir, de alto riesgo), es necesario documentar adecuadamente los procedimientos y la ejecución en torno al desarrollo, el diseño, la implementación, el funcionamiento y el seguimiento.

En conjunto, esto supone un complemento necesario a las normas existentes para que las organizaciones puedan adaptarlas a sus necesidades y contextos específicos. Esto garantiza que las tecnologías de IA se utilicen de una manera ética, segura y beneficiosa para la sociedad.

¿Por dónde empiezo a implementar esto?

El primer paso a la hora de implementar una nueva norma ISO es siempre realizar un análisis de su organización para ver qué aspectos se ven afectados. Los factores que se deben tener en cuenta son los siguientes:

  • ¿Existen objetivos estratégicos de alto nivel que requieran el uso de IA?
  • ¿Qué departamentos se ven afectados o se verán afectados por el uso de la IA? Considere también los departamentos empresariales, por ejemplo, marketing o ventas.
  • ¿Quiénes son los principales interesados ​​en la transformación hacia el uso de IA?
  • ¿Tiene suficientes recursos para implementar un sistema de gestión de IA? Esto incluye tanto a expertos técnicos, responsables de ciberseguridad y jefes de departamento con conocimientos para patrocinar iniciativas de IA
  • ¿Existen sistemas que ya utilizan IA o que se ven afectados por el uso de IA?
  • ¿Existen procedimientos existentes que ya utilizan IA o que se ven afectados por el uso de IA?
  • ¿Está desarrollando sistemas de IA o planea hacerlo en el futuro?

Estas preguntas revelarán los múltiples niveles de impacto que la IA tendrá en su empresa y que pueden abordarse mediante una implementación exitosa de esta y otras normas ISO.

¿Puedo obtener ayuda adicional para implementar este y otros estándares relacionados?

Si bien la ISO ofrece un marco de alto nivel para su enfoque de la IA, no proporciona plantillas listas para usar ni listas de verificación para la implementación. La implementación de la norma ISO puede ser un proceso largo en el que puede resultar difícil mantener una visión general del progreso. Pero no hacer nada también deja a su empresa expuesta a muchos riesgos y responsabilidades.

Tomado de: https://medium.com/