¿Cuáles son las etapas de la evaluación de riesgos ISO 27001?
Evaluación de riesgos ISO 27001
Dentro del Sistema de Gestión de Seguridad de la Información, la evaluación de riesgos ISO 27001 es una actividad transversal que se debe realizar de forma correcta.
La gestión eficaz de todos los riesgos se encuentra presente en los sistemas de gestión como puede ser la norma ISO 9001, o la norma ISO 14001, cobrando cada día mayor relevancia de cara al futuro y facilitar la toma de decisiones dentro de las diferentes empresas.
En el caso del Sistema de Gestión de Seguridad de la Información, la gestión de riesgos es esencial y para ello será necesario realizar una serie de actividades que garantizan que se ejecuta de forma eficiente.
Durante el artículo de hoy queremos hablar sobre el proceso de evaluación de riesgos ISO 27001, queremos centrarnos de forma detallada en las principales etapas del mismo y realizar una numeración del resto.
La importancia de la evaluación del riesgo ISO 27001
Debemos partir de la base de que los sistemas de gestión definen el riesgo como el efecto que genera la incertidumbre, puede ser positivo o negativo, debido a la falta de información de la situación, proceso o procedimiento.
De esta manera, la gestión del riesgo viene a apoyar las decisiones estratégicas que buscan prevenir las situaciones adversas futuras para transformarlas y aprovecharlas de manera eficiente para la mejora continua.
Existen muchas herramientas para llevar a cabo la evaluación de riesgos ISO 27001 como puede ser el AMFE, la lluvia de ideas o la metodología MAGERIT, y que se elegirán y aplicarán según se adapten a las necesidades y características de la empresa.
Podemos establecer dos etapas diferentes, pero que queremos centrarnos en la primera etapa ya que su relevancia en la evaluación de riesgos es muy importante para realizarla de forma correcta.
Elaborar un listado de inventarios en activo
Como base, se deben identificar los elementos indispensables para el funcionamiento y la realización del producto al que se dedica la organización. Permite obtener una imagen mucho más clara y definida de los elementos o activos que sirven como soporte de los procesos de negocio. De esta manera, se aporta una imagen definitiva y documentada que va a servir de soporte para muchos procesos del sistema de gestión y la toma de decisiones estratégicas, pero además se asientan los cimientos de la gestión de los diferentes riesgos a los que se enfrenta o puede enfrentarse la organización.
Cuando se realiza la identificación y las dependencias entre los diferentes elementos, se tiene que partir del estudio del funcionamiento de los servicios que responden a preguntas como: ¿Qué información es necesaria para prestar el servicio? O ¿Dónde se almacena dicha información?
Con las diferentes respuestas a las preguntas que hemos realizado, se elabora un inventario de activo que deberá incluir una serie de datos básicos como puede ser:
- Nombre
- Descripción
- Categoría
- Ubicación física en la que se encuentra
- Dependencias con otros activos
- Valor del activo en relación con la confidencialidad, disponibilidad e integridad, por lo que se establecen valores para cada uno de los activos a partir de diferentes criterios que se encuentran normalizados y son objetivos.
Identificar y realizar la valoración de las amenazas
Si avanzamos más en la gestión de los riesgos, es el momento de llevar a cabo el análisis de los riesgos elaborando un catálogo de las diferentes amenazas que se encuentran en el horizonte previsible a la organización.
Si se relaciona el catálogo con la lista de activos, es el momento de valorar la vulnerabilidad de cada uno de los diferentes activos teniendo en cuenta la degradación a la que se encuentran expuestos y su probabilidad frente a las amenazas.
Si avanzamos más en la gestión de los riesgos, será el momento de llevar a cabo el análisis de los riesgos elaborando un catálogo con diferentes amenazas a las que se debe enfrentar la organización.
Contando con dicho catálogo y relacionándolo con la lista de activos, será el momento de valorar la vulnerabilidad de cada uno de los diferentes activos teniendo en cuenta con la degradación a la que están expuestos y su probabilidad frente a las amenazas.
Calcular el impacto de las amenazas
Cuando tenemos identificados los activos y las amenazas que afectan a cada uno de ellos, el siguiente paso es calcular el impacto en función del valor del activo y la degradación que produce la amenaza en el caso de que la situación se produzca.
Es interesante destacar que el impacto se estudie sin tener en cuenta todas las medidas de seguridad que se realizan en ese momento, ya que si las incluimos tamizarán el riesgo máximo de cada activo y pueden provocar que los riesgos existentes no se consideren como tal.
Software ISO 27001
Si quiere mantener de una manera muy sencilla, rápida y eficaz la seguridad en la nube y no perder datos sensibles o críticos de sus clientes o sistema, no dude en consultar las ventajas del software ISOTools, que gracias a la automatización y su estructura modular, le permite gestionar y solucionar rápidamente todas las incidencias que puedan tener lugar.