Metodologías para el análisis de Riesgos de SSII
Un riesgo en la seguridad de la información puede llevar a pérdidas ante fallos de los sistemas de la misma.
Se consideran también la probabilidad de fraudes internos y externos mediante los sistemas de la información.
Involucra al riesgo legal y al riesgo de pérdida de reputación por fallos en la seguridad y por la no disponibilidad de los sistemas de la información.
Una metodología base para el análisis de riesgos en la información puede constar de las siguientes etapas:
- Caracterización del sistema
- Identificación de amenazas
- Identificación de vulnerabilidades
- Análisis de controles
- Determinación de la probabilidad de ocurrencia
- Análisis de impacto
- Determinación del riesgo
- Recomendaciones de control
- Documentación de resultados
El sistema incluye todos los elementos necesarios para mantener las actividades de la organización, tales como datos, hardware, personal…
Se habla de amenaza como cualquier evento que puede afectar a los activos de la organización, poniendo el peligro su integridad. Las amenazas dependen del negocio, ubicación de la empresa, tipo de sistema a proteger…
Relativo a las amenazas es necesario identificar sus causas, el activo afectado por ellas y calcular la probabilidad de que dichas amenazas ocurran.
A la hora de tratar el riesgo hay que encontrar un equilibrio entre el nivel de seguridad y el coste de la misma. Por otro lado, se deben tomar decisiones y aceptar el riesgo, transferir el riesgo y reducirlo hasta un nivel aceptable.
En la serie de normas ISO destaca ISO 27005 como estándar que describe las metodologías para el análisis de riesgos, apoyándose especialmente en los requisitos del SGSI implantado en base a ISO 27001.
La Plataforma Tecnológica ISOTools permite a las organizaciones conocer e identificar sus riesgos referidos a la seguridad de la información, para poder evitarlos y cumplir con los requisitos del SGSI ISO-27001.