ISO 27001: Plan de tratamiento de riesgos de seguridad de la información
ISO 27001: Plan de tratamiento de riesgos de seguridad de la información
Una organización tiene que saber a qué riesgos se enfrenta, esto lo puede conseguir mediante el plan de tratamiento de riesgos de seguridad de la información. Durante este artículo queremos enseñarles porque el plan de tratamiento de riesgos de seguridad de la información es crucial para la preparación en ciberseguridad.
Existen objetivos fundamentales en ciberseguridad que las empresas deben cumplir para considerar que están seguras. La preparación para la seguridad es el estado de ser capaz de detectar y responder de forma eficaz las brechas e intrusiones de seguridad informática, los ataques de malware, los ataques de phishing y el robo de datos, tanto dentro como fuera de la red. Creemos que le puede ser interesante la siguiente lectura ISO 27005: ¿Cómo identificar los riesgos?.
Este post aborda el riesgo por el que se afecta a la información y los sistemas de información. Es necesario proteger la información porque es un problema empresarial en el que la solución se encuentra en algo más que sólo implementar un antivirus y esperar lo mejor. Las organizaciones deben adoptar un enfoque proactivo para poder identificar y proteger todos sus activos más imperantes. Establecer un plan de tratamiento de riesgos de seguridad de la información permite que la empresa evalúe lo que quiere proteger y lo utilice como un elemento de apoyo para tomar la decisión en la identificación de diferentes medidas de seguridad.
La evaluación integral del riesgo de seguridad de la información permite que una empresa evalúe todas sus necedades y riesgos en el contexto de sus necesidades organizativas.
Es muy importante tener en cuenta que el propósito de los sistemas de información y los datos que contienen es apoyar los procesos de negocios, que a su vez apoyan la misión de la empresa. La información es un elemento fundamental que se contribuya a la capacidad de la empresa para sostener sus operaciones.
Definición de riesgo
El riesgo es: la posibilidad de sufrir daños o pérdidas. La amenaza es un componente del riesgo y se puede considerar como: un agente de amenazas, ya sea humano o no humano, toma alguna acción, como identificar y explotar una vulnerabilidad, que ofrece un resultado inesperado y no deseado. Dichos resultados generan impactos negativos en la empresa. Los impactos pueden incluir: pérdida de ingresos o clientes, pérdida de diferenciación de mercado, costos de respuesta y recuperación por el incidente y el costo de pagar multas o sanciones reguladoras.
Componentes del riesgo de seguridad de la información
El plan de tratamiento de riesgos de seguridad de la información tiene diferentes componentes importantes:
- Agente de amenaza
- Vulnerabilidad
- Resultados
- Impacto
El último y más importante componente del riesgo de seguridad de la información es el activo. Si suponemos que el activo de riesgo no puede ser eliminado, el único componente del riesgo de seguridad de la información puede estar controlado en cuanto a la vulnerabilidad. Solo existen algunas cosas que se pueden hacer para controlar las vulnerabilidades:
- Eliminar la vulnerabilidad
Si no puede ser eliminada:
- Reducir la probabilidad de explotación de la vulnerabilidad
- Reducir la gravedad del impacto resultante de la explotación de la vulnerabilidad
- No hacer nada, aceptar el riesgo
Un caso problemático es el de la vulnerabilidad en el día cero, por definición, una empresa no puede protegerse contra los resultados e impactos específicos de esa vulnerabilidad desconocida y no tiene la oportunidad de crear estrategias para reducir la probabilidad y el impacto.
Gestión de riesgos
Por esto, el plan de tratamiento de riesgos de seguridad de la información es el proceso de identificar, comprender, evaluar y mitigar los riesgos y el impacto en la información, los sistemas de información y las empresas que dependen de la información para sus operaciones. Además de identificar todos los riesgos y las medias de mitigación del riesgo, un método y proceso de gestión del riesgo:
- Identificar todos los activos críticos de información. Un programa de gestión de riesgos que se puede ampliar para identificar a las personas críticas, los procesos de negocio y la tecnología.
- Comprender por qué los activos críticos escogidos son necesarios para la operación, la realización de la misión y la continuidad de las operaciones.
Para cumplir con la gestión de riesgos como componente de preparación para la ciberseguridad, una empresa deberá crear un sólido programa de evaluación y gestión de riesgo de la seguridad de la información.
Los recursos para construir un plan de tratamiento de riesgos de seguridad de la información incluyen:
- Publicación especial NIST 800-39, Gestión del Riesgo de Seguridad de la Información.
- Publicación especial NIST 800-30, Guía para Realización de Evaluaciones de Riesgo.
Los elementos que apoyan un plan de tratamiento de riesgos de seguridad de la información incluyen:
- Un programa de gestión de activos
- Un programa de gestión de la configuración
- Un programa de gestión del cambio
Software para ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.