ISO 27001 y la gestión de los riesgos de la seguridad de la información en PYMEs
ISO 27001
ISO 27001 realiza la evaluación de riesgos para identificar las amenazas, vulnerabilidades y riesgos de la información, sobre la plataforma tecnológica de una organización, con el fin de generar un plan de implementación de los controles que aseguren un ambiente informático seguro, bajo los criterios de disponibilidad, confidencialidad e integridad de la información.
- Confidencialidad. Se garantiza que la información esté accesible únicamente a personal autorizado.
- Integridad. La propiedad de salvaguardar la exactitud e integridad de los activos.
- Disponibilidad. La propiedad de estar disponible y utilizable cuando sea necesario.
ISO-27001 requiere que la organización que está planeando implantar un SGSI, primero defina el alcance del estándar en la empresa, y en base a ese alcance se deben identificar todos los activos de información. Estos activos deben ser evaluados para averiguar cuál es su impacto dentro de la organización.
Para poder conocer ese impacto se emplea la metodología de análisis de riesgos. Esta herramienta utiliza métodos tanto cualitativos, como cuantitativos, los primeros permiten agilidad en el proceso y facilidad en la asignación de valores de impacto o riesgo, y los segundos nos permiten la precisión y exactitud.
El proceso de evaluación del riesgo se divide en una serie de fases principales, las cuales engloban todo el proceso:
Definición del alcance del modelo.
Identificación de activos. Un activo es algo que tiene valor o utilidad para la organización. Estos activos necesitan protección para poder asegurar la continuidad de la empresa, por ello deben ser claramente identificados y valorados.
Valoración de activos. Con la finalidad de poder identificar posteriormente la protección apropiada a los activos, ya que es necesario tasar su valor en términos de importancia para la empresa. Para ello se deberá aplicar una escala de valor a los activos y de esa manera poder relacionarlos apropiadamente.
Identificación de amenazas. Una amenaza es una causa potencial de un incidente no deseado en los activos de la empresa, si esta amenaza se materializa puede producir consecuencias desfavorables para la organización.
Probabilidad de ocurrencia de las amenazas. El siguiente paso es establecer la posibilidad de ocurrencia de amenazas y el impacto económico que pudiese ocasionar en la organización.
Es importante señalar, que no todas las amenazas tienen la misma probabilidad de ocurrencia. Existen amenazas cuya frecuencia es baja y otras que son altas.
Identificación de vulnerabilidades. Una vulnerabilidad se define como un error que representa un problema potencial, es decir, es una condición de debilidad, que le permite a una amenaza producir un daño en la organización.
Posible explotación de vulnerabilidades. Una amenaza para poder causar algún tipo de daño a un activo, tendría que explotar la vulnerabilidad del sistema. Las vulnerabilidades son condiciones que pueden permitir que las amenazas las exploten y causen daño.
Existen muchos métodos para el cálculo de riesgos de activos de información, pero se debe escoger el que más se adapte a las características de la empresa.
La Plataforma Tecnológica ISOTools está diseñada para ser capaz de desarrollar cada una de estas indicaciones en la implantación de un SGSI de ISO27001, y llevar a cabo una gestión eficaz y eficiente del mismo.