ISO 27001: ¿Cómo gestionar las amenazas y las vulnerabilidades?
ISO 27001
Cuando una organización decide implementar un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 debe realizar un análisis de riesgos y después le prosigue una identificación de amenazas y vulnerabilidades.
Por amenaza podemos entender cualquier escenario o situación que potencialmente puede materializarse con un incidente de seguridad. El rango de amenazas al que está sometido el inventario de la empresa es muy variado:
- Desastres naturales
- Siniestros
- Accidentes
- Agresiones
- Etc.
Las organizaciones tienen que elabora una lista con todas las amenazas a las que se pueden ver sometidas para, después, evaluar la probabilidad que existen que dicha amenaza se haga real sobre los activos de información de la organización.
A la hora de estimar la probabilidad de que una amenaza se materializa, es necesario conocer si el activo de información es vulnerable o no ante dicha amenaza.
Ante las amenazas y los activos de información nos encontramos con el mismo caso. La pregunta que se debe hacer será la estimación de la probabilidad de materializaciones, por lo que se conocerá si el activo es o no vulnerable ante dicha amenaza.
Existen amenazas ante las que todos los activos de información son vulnerables, como puede ser los desastres, los siniestros y accidentes. Sin embargo hay otras en las que dependiendo la medidas y los controles de seguridad que se utilicen por parte de la organización, pueden ser o no vulnerables, como pueden ser las agresiones y actos intencionados.
El concepto de riesgo permite definir un marco de referencia para poder evaluar la seguridad de la información en la organización. El proceso seguido de evaluación y valoración permite que la organización determine el grado de exposición de sus activos y así poder definir una estrategia que reduzca el riesgo.
Con la maniobra de controles de seguridad, la empresa puede actuar sobre los factores de riesgo, disminuyendo las vulnerabilidades, mitigando la probabilidad de materialización de cualquier amenaza o reduciendo el impacto que se genera sobre los activos de la información en caso de que llegara a producirse un incidente.
Definir y ejecutar un Plan de Gestión de Riesgos facilitará a la empresa conseguir un nivel óptimo de seguridad definido por un riesgo residual. El riesgo residual es el conjunto de riesgos que la empresa considera asumible.
Definir el umbral de riesgo residual es una decisión que se encuentra relacionada con la prevención del riesgo en la organización.
Se debe reflexionar sobre la necesidad de desplegar un proceso de monitorización continua del riesgo. El entorno dinámico en que se encuentra la organización obliga a realizar cambios continuos para adaptarse. Los cambios se producen a diferentes niveles y en distintos entornos. Estos cambios pueden afectar al perfil de riesgo de la organización, es decir, el riesgo al que se encuentra sometido una organización puede variar a lo largo del tiempo y normalmente, suele seguir una tendencia creciente.
El proceso de evaluación y valoración de riesgos debe ser un proceso continuo, ya que se debe adaptar la estrategia de seguridad de la organización y ubicar a la misma el umbral de riesgo residual requerido.
La teoría es algo bastante fácil de entender, lo difícil llega cuando se quiere poner en práctica en una organización. Hay muchas organizaciones que desconocen lo que tienen, para qué lo usan, quiénes lo usan o quiénes lo deberían usar.
El problema se acrecienta cuanto más grande y compleja es la organización. Si una empresa no conoce cuantos activos tiene su sistema informático, difícilmente podrá abordar un análisis de riegos. Además, tampoco podrá ponerle valor, por lo que no sabrá a que vulnerabilidades y amenaza se encuentra expuesto.
En una organización grande las responsabilidades suelen estar repartidas por departamentos, por lo que estos suelen ser consiente de los activos que utiliza su departamento y por ahí podemos comenzar.
Sin embargo, el responsable de departamento no es conocedor de los activos de soporte, y algo similar ocurre en los departamentos de sistemas y comunicaciones.
Por lo que es complicado valorar algo intangible y mantenerlos razonablemente actualizados. Una vez se cumplan los requisitos legales, la característica de la Seguridad de los Sistemas de Información será mucho más fácil de justificar su disponibilidad.
Si se tratasen temas relacionados con la confidencialidad o integridad de la información, las discrepancias o la complejidad del tema serían enormes.
Los requisitos de seguridad son muy particulares dependiendo del sector en el que trabaje la organización y además, son relativamente dinámicos. El aspecto de mayor consideración a la hora de cuantificar el riesgo es la valoración del activo de información, ya que algo que antes podía se considerado de bajo riesgo puede haber evolucionado hasta convertirse hoy día en crítico.
Para evitar falsas sensaciones de seguridad se debe mantener el sistema lo más actualizado posible.
Cuando elaboramos un análisis de riesgo podemos caer fácilmente en la tentación de considerar la disponibilidad como característica principal de la seguridad. La disponibilidad es un concepto que casi todos conocemos, pero que sucede si se trata con otras dos dimensiones de seguridad.
Si abordamos la determinación del impacto relacionándola con la confidencialidad y la integridad, la valoración se complica mucho más.
Nos podemos preguntar ¿Cuánto vale la información que tiene una entidad o qué impacto supone su revelación pública? Para responder a esta pregunta nos debemos hacer otra pregunta ¿Cuánto estaría dispuesto a pagar vuestro departamento comercial por disponer de esa información? Obviamente, es complejo determinar el impacto económico en cualquiera de los casos, pero sí que es sencillo llevar a cabo estudios cualitativos.
A la hora de realizar un análisis de riesgos debemos tener en cuenta:
- Ser metódico para poder realizar el análisis tantas veces como sea necesario a lo largo del tiempo.
- Ser realista, ya que el análisis será tan bueno como la información de la que se disponga.
- Ser riguroso y justificar los impactos
Como conclusión podemos obtener la siguiente frase: lo importante es sentirse razonablemente a gusto con el resultado del análisis de riesgos.
Software para SGSI
El Software ISO para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.