¿Cómo realizar el análisis de riesgos según la norma ISO 27001?
ISO 27001
Si lo que deseamos es comenzar desde cero con la aplicación de la norma ISO 27001 en materia de seguridad, el análisis de riesgos es uno de los trabajos más importantes cuando queremos definir un proyecto y las iniciativas con las que mejorar la seguridad de la información en nuestra organización.
Al hablar del plan director de seguridad, podemos decir que, se puede simplificar como la definición y la priorización de un conjunto de proyectos en materia de seguridad de la información. Está enfocado en reducir los riesgos a los que se encuentra expuesta la empresa hasta niveles aceptables a partir de un análisis de la situación inicial.
Llevar a cabo un buen análisis nos permite centrar nuestro foco en los riesgos que se encuentra asociados a los sistemas, procesos y elementos dentro del alcance del plan director de seguridad. Es posible mitigar la posibilidad de tener algún tipo de incidente de ciberseguridad. Por otro lado, también se podrán obtener beneficios si llevamos a cabo un análisis de riesgos de manera aislada en lugar de realizarlo dentro de un contexto mayor, como puede ser, el desarrollo de un plan director de seguridad.
Durante el artículo de hoy queremos mostrar las tareas que se deben realizar para establecer un análisis de riesgos según la norma ISO 27001. Queremos aportar recomendaciones prácticas sobre cómo realizarlo, considerando algunas particularidades que se deben tener en cuenta. Las fases de las que se componga un análisis de riesgos dependerá de la metodología utilizada.
En el caso que nos ocupa, debemos seleccionar un conjunto de fases que son comunes en la mayor parte de las metodologías para el análisis de riesgos.
Fase 1. Definir el alcance
Lo primero que debemos hacer es realizar es establecer el alcance del análisis de riesgos. Deberemos considerar que este análisis de riesgos forma parte del plan director de seguridad. Por lo tanto, recomendamos que el análisis de riesgos cubra la totalidad del alcance del plan director de seguridad, en el que se han seleccionado todas las áreas estratégicas sobre las que mejorar la seguridad. Por otro lado, también es posible definir un alance mucho más limitado si atendemos a departamentos, procesos o sistemas.
Fase 2. Identificar los activos
Cuando ya tenemos definido el alcance, tenemos que identificar los activos más importantes que guardan relación con el departamento, proceso o sistema objeto del estudio. Para mantener un inventario de activos sencillo puede ser suficiente con hacer uso de una hoja de cálculo o tabla.
Fase 3. Identificar / seleccionar las amenazas
Cuando se identifican los principales activos, el siguiente paso consiste en identificar las amenazas a las que estos se encuentran expuestos. Tal y como imaginamos, el conjunto de amenazas es amplio y diverso por lo que debemos hacer un esfuerzo en mantener un enfoque práctico y aplicado. Puede que nuestra intención sea evaluar el riesgo que se corre frente a la destrucción del servidor, por lo que será necesario considerar las averías del servidor, la posibilidad de daño por agua o daños por fuego, en lugar de plantar el riesgo de que el servidor sea destruido.
Fase 4. Identificar vulnerabilidades y salvaguardas
En esta fase se pretende estudiar todas las características de los activos para identificar los puntos débiles o vulnerabilidades. Una posible vulnerabilidad puede ser identificar un conjunto de servidores cuyos sistemas antivirus no se encuentran actualizados. A la hora de evaluar el riesgo aplicaremos penalizaciones para reflejar las vulnerabilidades identificadas.
También se deberá analizar y documentar las medidas de seguridad implementadas en nuestra empresa. Es posible que hayamos instalado un sistema o un grupo electrógeno para abastecer de electricidad a los equipos. Ambas medidas de seguridad contribuyen a minimizar el riesgo de las amenazas relacionadas con el corte de suministro eléctrico.
Dichas consideraciones se deben tener en cuenta cuando se quiera estimar la probabilidad y el impacto como veremos en la siguiente fase.
Fase 5. Evaluar el riesgo
Si hemos llegado hasta esta fase, ya disponemos de los siguientes elementos:
- Inventario de activos.
- Conjunto de amenazas a las que está expuesta cada activo.
- Conjunto de vulnerabilidades asociadas a cada activo (si corresponde).
- Conjunto de medidas de seguridad implantadas
Con toda esta información ya podemos calcular el riesgo. Para cada activo-amenaza, estimaremos la probabilidad de que la amenaza se materialice y el impacto sobre el negocio que esto produciría. El cálculo de riesgo se puede llevar a cabo utilizando tanto criterios cuantitativos como cualitativos.
Fase 6. Tratar el riesgo
Cuando se calcula el riesgo, tenemos que tratar los riesgos que superen un límite que nosotros mismos hayamos establecido. Por ejemplo, solo se tratarán los riesgos cuyo valor supere a 4. A la hora de tratar el riesgo, existen cuatro estrategias principales:
- Transferir el riesgo a un tercero.
- Eliminar el riesgo.
- Asumir el riesgo, siempre justificadamente.
- Implantar medidas para mitigarlo.
Es necesario realizar este análisis de riesgos en el contexto de un plan director de seguridad, las acciones e iniciativas para tratar los riesgos pasan a formar parte del mismo. Es necesario clasificarlas y priorizarlas considerando el resto de proyectos que forman parte del plan director de seguridad.
Diplomado Implementador ISO 27001
La información es uno de los activos más valiosos de los que dispone una empresa. Es por eso que garantizar su seguridad debería ser algo primordial. Hoy en día todas las empresas trabajan con algún equipo informático o software que maneja datos. Por lo que si queremos garantizar la seguridad de la misma debemos conocer la mejor forma. Con el diplomado implementador ISO 27001 aprenderá todo lo que necesita sobre los Sistemas de Gestión de Seguridad de la Información.