Cuando se implementa el análisis de riesgos en ISO 27001, la identificación de activos, amenazas y vulnerabilidades que atañen a la seguridad de la información es tan solo la primera parte del trabajo.
La segunda fase, tan importante como la primera y no menos difícil, implica evaluar las consecuencias y probabilidades de cada riesgo. En otras palabras, la probabilidad de que ocurra y el impacto negativo que supone su ocurrencia.
El tipo de análisis de riesgos en ISO 27001 no está prescrito dentro del cuerpo de la norma. ISO 27001 requiere que la organización evalúe las consecuencias y la probabilidad de cada riesgo, pero no dice cómo hacerlo. Depende de los encargados del sistema decidirlo.
Aunque existen varias formas de analizar consecuencias y probabilidades dentro de la evaluación de riesgos en ISO 27001, existen dos enfoques que resultan prácticos para quienes comienzan su camino en la seguridad de la información.
Dos enfoques para evaluar consecuencias y probabilidades en el análisis de riesgos en ISO 27001.
Antes de entrar en profundidad con estos enfoques, recordemos que, sin importar que modelo se elija el procedimiento debe ser documentado. La finalidad de estos enfoques es evaluar el riesgo para tener una idea sobre las posibilidades de que los objetivos no se alcancen así como poder priorizar aquellos riesgos en los que han de centrarse los mayores esfuerzos.
Los dos enfoques que queremos compartir para evaluar consecuencias y probabilidades en el análisis de riesgos en ISO 27001 son el cualitativo y el cuantitativo:
1. Evaluación de riesgos cualitativa
La evaluación de riesgos cualitativa destaca los mayores riesgos, lo que permite respaldar las decisiones de asignación de recursos. Pero también hace posible que los directores de área y los propietarios de riesgos se pregunten “que pasaría si…” con respecto a las consecuencias de varias acciones de gestión potenciales.
Este tipo de evaluación, dentro del análisis de riesgos en ISO 27001, se puede llevar a cabo de dos formas diferentes:
Evaluación simple
En una evaluación de riesgos simple, se evalúan las consecuencias y las probabilidades directamente. Una vez que identificamos los riesgos, simplemente utilizamos una escala para evaluar por separado las consecuencias y las probabilidades de cada uno de ellos.
Por ejemplo, se puede utilizar una escala de 0 a 4, en donde 0 es una probabilidad muy baja, 1 baja, 2 media, 3 muy probable y 4 extremadamente alta. Igualmente se podría utilizar una escala de 1 a 10. Cuanto mayor sea la escala, más precisos son los resultados, pero también más tiempo requerirá la evaluación.
Así, una evaluación de riesgos simple podría presentarse de esta forma:
En una segunda etapa del #AnálisisRiesgos en #ISO27001 es preciso evaluar las consecuencias y la probabilidad.
Evaluación detallada de riesgos
En la evaluación detallada de riesgos, además de evaluar esos dos elementos – probabilidad y consecuencia– se evalúa otro adicional: el valor del activo. Para esto, se considera qué tipo de daño podría sucederle si su confidencialidad, integridad o disponibilidad estuviesen en peligro.
Como es lógico, tanto las amenazas como las vulnerabilidades influyen directamente en la probabilidad. Cuanto mayor es la amenaza y mayor es la vulnerabilidad, es más probable que ocurra el riesgo y viceversa.
Por ello, una vez se cuenta con los valores, calcular el riesgo es muy fácil. Es cuestión de realizar una operación matemática a elegir, o bien sumar o bien multiplicar los valores. Después de este cálculo es preciso determinar si los valores obtenidos son aceptables o no, y luego entrar en la etapa de gestión y tratamiento de riesgos.
2. Evaluación de riesgos cuantitativa
La evaluación cuantitativa en un análisis de riesgos en ISO 27001 considera datos puntuales, precisos y medibles, utilizando fórmulas matemáticas y recursos computacionales. De ese modo se calculan los valores de probabilidad e impacto usualmente expresados en cifras monetarias.
Una recomendación adicional: Para la acertada y eficaz gestión del riesgo en lo relacionado con la seguriodad de la información es conveniente complementar con las "directrices" de la norma internacional ISO 31000 y a las técnicas señaladas en ISO 31010.
Tomado de: https://www.escuelaeuropeaexcelencia.com/