ISO 27001: La gestión del riesgo en un SGSI
ISO 27001
A la hora de implementar un Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 se debe tener en cuenta el riesgo al que se ven sometidos los activos de información en el día a día de una organización.
El riego es la probabilidad de que se produzca un impacto determinado en un activo de seguridad, en un dominio e incluso en toda la organización.
Durante el cálculo del riesgo tiene una gran influencia la evaluación del impacto, es un proceso muy difícil de realizar. El nivel de riesgo depende de la vulnerabilidad y del impacto, aunque al impacto se le otorga un mayor peso a la hora de tomar la decisión para calcular el riego; ya que cualquier persona prefiere la combinación entre un impacto bajo, aunque la potencialidad sea muy alta, a la de un impacto alto con una potencialidad baja.
Características del riesgo
Según la norma ISO27001, el riesgo es el resultado de hacer un análisis de riesgos. El análisis de riesgos es un proceso muy complejo que parte de determinar dos entidades autónomas y continúa por estimar dos entidades derivadas de estas. Se tiene que hacer dicho análisis con el principal objetivo de obtener como resultado un valor que facilite la toma de decisión entre proseguir o no a la siguiente etapa del proceso.
Tipos de riesgos
Podemos diferenciar entre tipos de riesgo según los objetivos que quieren alcanzar:
- Riesgo calculado: se define en torno a los valores calculados de vulnerabilidad y el impacto producido y es solo un indicador que ayuda a tomar una decisión.
- Riesgo residual: es el riesgo residual que encontramos una vez ha disminuido el riesgo tras aplicar medidas correctivas, bien sean aplicadas realmente o mediante un proceso de simulación.
- Umbral de riesgo: es un valor que se ha establecido como referencia para poder tomar la decisión mediante comparación con el riesgo que ha sido calculado.
- Riesgo intrínseco: es definido una vez se eliminan las acciones correctivas o preventivas que ya habían sido establecidas en el activo.
Atributos del riesgo
La norma ISO-27001 considera dos atributos diferentes, uno para cada riesgo y otro que realice la relación entre los diferentes riesgos:
- Restricción del riesgo a cada tipo de impacto factible, ya que tenemos establecida la vulnerabilidad del activo de información.
- Propagar el riesgo para los diferentes activos dependientes entre sí mismos.
Cálculo del riesgo
La norma ISO 27001 nos da la posibilidad de realizar un cálculo mucho más sencillo del riesgo si tenemos pocas variables y, por el contrario, poder realizar un cálculo mucho más tedioso si contamos con muchas más variables diferentes.
Si queremos hacer el cálculo más sencillo del riesgo, la vulnerabilidad se puede estimar como la frecuencia y el impacto se puede estimar como un valor monetario de reposición.
El riesgo calculado se suele apreciar por el impacto acumulado durante un periodo de tiempo, normalmente un año, esto es conocido como expectativa de riesgos anuales y expectativa de pérdidas anuales. La expectativa de riesgo anual es el costo de reposición del componente durante un año comparado con el umbral determinado o el costo anual para poder reducirlo.
Cuando se cuenta con pocos elementos para distribuir por niveles las vulnerabilidades y los impactos, se debe reducir la matriz anterior a tres niveles: bajo, medio y alto. Cuando el proyecto tiene el objetivo de hacer un análisis y una gestión de riesgos inicial, la técnica de cálculo se orienta a establecerse en dos bloques de riesgos en el conjunto de activos.
Las diferencias en tipificación entre los riesgos calculados, los umbrales de riesgos y los riesgos asumibles son irrelevantes. Para poder establecer la caracterización de los activos de información por el estado y los subestados se debe tener en cuenta el riesgo complementario. Todos los modelos que se podrían haber llevado a cabo en honor al único concepto de riesgo, aunque entonces el concepto tiene que soportar dos acepciones diferentes, es decir, una como estado del activo y otra como resultado del proceso de cálculo con el que soportar dicha decisión. Gracias al sistema MAGERIT se evita la ambigüedad empleando seguridad como estado y riesgo solo como resultado, según las tendencias internacionales.
Todos estos cálculos son laboriosos, pero son muy necesarios a la hora de implementar un Sistema de Gestión de Seguridad de la Información con éxito. Pueden acarrear una gran tarea, pero una vez realizados facilitan mucho la labor para poder implantar las acciones necesarias evitando males mayores.
Software para SGSI
El Software ISO27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.