La gestión de riesgos en los Sistemas de Gestión de Seguridad de la Información
Riesgos en los Sistemas de Gestión de Seguridad de la Información
La gestión de riesgo en los Sistemas de Gestión de Seguridad de la Información a pesar de guardar similitudes con la gestión de riesgos de otros sistemas, tiene ciertas particularidades.
La gestión de riesgos en los Sistemas de Gestión de Seguridad de la Información está basada en la certificación internacional ISO/IEC 27001, no obstante, antes de comenzar a desarrollar el artículo, queremos recordar que no es necesario certificarse en dicha norma para seguir sus principios, pueden aplicarse de forma voluntaria para obtener la gran mayoría de beneficios que pueden aportar a su compañía.
¿Qué es riesgo?
Lo primero que debemos conocer es la definición de riesgo. Es el efecto de la incertidumbre sobre los objetivos.
Teniendo en cuenta que efecto es una desviación de lo esperado sea positivo (oportunidad) o negativo e incertidumbre es el estado incluso parcial de deficiencia de información relacionada con, comprensión o conocimiento de un evento, su consecuencia o probabilidad.
También se puede considerar riesgo como una combinación de las consecuencias de un evento y la probabilidad asociada de que este ocurra.
No obstante, si aplicamos la definición de riesgo en los Sistemas de Seguridad de la Información, pueden expresarse como un efecto de la incertidumbre sobre los objetivos de seguridad de la información. Otra definición exclusiva de estos sistemas indica que el riesgo de seguridad de la información está asociado con el potencial de que las amenazas exploten la vulnerabilidad de un activo de información o grupo de activos de información y, por lo tanto, causen daños a una organización.
Existen una gran cantidad de tipos de riesgos para la seguridad, salud, tecnológicos… También suele haber confusiones, por ejemplo, al pensar en ISO 27001, pensamos en riesgos meramente tecnológicos, es decir, aquellos medios en los que se encuentre la información en formato digital. No obstante, no debemos caer en ese error, ya que el alcance un Sistema de Gestión de seguridad de la información es mucho amplio y abarca la protección de toda la información, no importa el medio que la tenga (papel o formato digital).
¿Qué es seguridad de la información?
Una vez que conocemos la definición de riesgo, pasamos a la de Seguridad de la Información que se puede definir como la protección de la información contra la divulgación, transferencia, modificación o destrucción no autorizadas sea de forma voluntaria o accidental.
Metodologías para la gestión de riesgos en los Sistemas de Gestión de Seguridad de la Información.
Para los diferentes sistemas de gestión, la metodología que se usa para la gestión de riesgos suele ser de carácter generalista como ISO 31000 o COSO ERM.
Sin embargo, para los Sistemas de Gestión de la Información, se pueden utilizar diferentes metodologías como NIST SP 800-30, MAGERIT, CRAMM… No obstante, la metodología seguida en este artículo es una de las más conocidas a nivel mundial, ISO/IEC 27005 Gestión de Riesgos de la Seguridad de la Información.
Fases del proceso de gestión de riesgos de seguridad de la información
- Establecimiento de contexto: en esta fase debemos conocer las amenazas más comunes para la seguridad de la información
- Evaluación del riesgo: esta fase contiene el análisis del riesgo y la evaluación del riesgo. A su vez, el análisis del riesgo se divide en identificación y estimación del riesgo. Una vez hecho el análisis de las amenazas de nuestro sector y conocemos las características de nuestros controles, y amenazas ya tenemos identificado el riesgo y posteriormente se debe hacer una estimación de este teniendo en cuenta el valor de la información en cuanto a confidencialidad, integridad y disponibilidad. Finalmente se hace una evaluación del riesgo combinando el valor del activo con amenaza y vulnerabilidad.
- Tratamiento del riesgo: una vez realizada la evaluación se decide si se van a tomar medidas para tratar el riesgo con el objetivo de minimizarlo o no, todo depende del resultado de evaluación y la política de seguridad de la información de la organización. Esta fase depende de la organización, ya que hay organizaciones que tienen cero tolerancias ante el riesgo, por lo que se tratarán todos los riesgos que se encuentren. A su vez, esta fase se subdivide en:
- Aceptar: es una forma de tratamiento en la cual se conoce que existe un riesgo, pero debido al bajo nivel de recursos de una organización y bajo nivel de amenaza no se trata. No quiere decir que se olvide, debe seguir controlándolo para tratarlo una vez se pueda abordar.
- Transferir: existe conocimiento del riesgo, pero por distintas razones, la organización subcontrata a otras para ayudar a eliminarlo.
- Mitigar: en este caso, la ISO 27001 CUENTA CON 114 controles para mitigar los riesgos, por lo que se podría elegir el más apropiado para combatirlo.
Diplomado ISO/IEC 27001
La información es un activo muy volátil, por ello, no podemos poner una especie de cerraduras de seguridad para protegerla (salvo que se encuentre en formato físico). Por lo tanto, lo mejor que podemos hacer es ser conscientes de todos los riesgos para la seguridad de la información a los que nos enfrentamos, así como mitigarlos. En el Diplomado ISO/IEC 27001 aprenderá desde las bases de la norma hasta lo más específico.