Análisis y evaluación de riesgos según ISO 27001: identificación de amenazas, consecuencias y criticidad
cerrar

Software para la Gestión de la Excelencia

Cerrarcerrar_megamenu

Sobre ISOTools

Cerrarcerrar_megamenu
PLATAFORMA TECNOLÓGICA PARA LA GESTIÓN DE LA EXCELENCIA Demo Login
Blog Calidad y Excelencia

Análisis y evaluación de riesgos según ISO 27001: identificación de amenazas, consecuencias y criticidad

Análisis y evaluación de riesgos según ISO 27001: identificación de amenazas, consecuencias y criticidad
5 (100%) 1 vote[s]

ISO 27001

ISO 27001

Un SGSI basado en la norma ISO 27001 se fundamenta principalmente en la identificación y análisis de las principales amenazas para, a partir de este punto de partida, poder establecer una evaluación y planificación de dichos riesgos.

Una amenaza se puede definir como cualquier evento que puede afectar los activos de información y se relaciona, principalmente, con recursos humanos, eventos naturales o fallas técnicas. Algunos ejemplos pueden ser: ataques informáticos externos, infecciones con malware, una inundación, un incendio o cortes de fluido eléctrico.

Pero en ocasiones basta una omisión o despiste por parte del personal de la empresa, como el uso de una simple pulsera imantada, para que se pueda llegar a producir un daño grave, e incluso irreparable, de la información.

En definitiva, se trata de elaborar una adecuada gestión de riesgos que permita a las organizaciones conocer cuáles son las principales vulnerabilidades de sus activos de información.

Un correcto proceso de identificación de riesgos implica:

  • Identificar todos aquellos activos de información que tienen algún valor para la organización.
  • Asociar las amenazas relevantes con los activos identificados.
  • Determinar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas.
  • Identificar el impacto que podría suponer una pérdida de confidencialidad, integridad y disponibilidad para cada activo.

 

CTA botón e-book ISO 27001

Descarga gratis e-book: La norma ISO 27001

 

Análisis y evaluación de los riesgos y sus consecuencias

Se debe analizar el impacto en el negocio de un fallo de seguridad que suponga la pérdida de confidencialidad, integridad o disponibilidad de un activo de información, evaluando de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades e impactos en los activos.

Además de riesgo en sí, es necesario analizar también sus consecuencias potenciales, que son muchas y de distinta gravedad: desde una simple dispersión de la información a la pérdida o robo de datos relevantes o confidenciales.

Una posible metodología de evaluación de riesgos estaría compuesta de las siguientes fases:

  • Recogida y preparación de la información.
  • Identificación, clasificación y valoración los grupos de activos.
  • Reconocer y clasificación de las amenazas.
  • Identificación y estimación de las vulnerabilidades.
  • Establecimiento y valoración de impactos: identificar, tipificar y valorar los impactos.
  • Evaluación y análisis del riesgo.

 

Criticidad del riesgo

Por este motivo, se deben evaluar las consecuencias potenciales para poder evaluar su criticidad: riesgo aceptable y riesgo residual.

Riesgo aceptable

No se trata de eliminar totalmente el riesgo, ya que muchas veces no es posible ni tampoco resultaría rentable, sino de reducir su posibilidad de ocurrencia y minimizar las consecuencias a unos niveles que la organización pueda asumir, sin que suponga un perjuicio demasiado grave a todos los niveles: económico, logístico, de imagen, de credibilidad, etc.

Riesgo residual

Se trata del riesgo que permanece y subsiste después de haber implementado los debidos controles, es decir, una vez que la organización haya desarrollado completamente un SGSI. Es un reflejo de las posibilidades de que ocurra un incidente, pese a verse implantado con eficacia las medidas evaluadoras y correctoras para mitigar el riesgo inherente.

 

El compromiso del liderazgo

La norma ISO 27001 otorga un peso cualitativo muy importante a la Dirección, la cual debe ejercer el liderazgo del sistema de seguridad. A partir de aquí, se debe establecer un plan de trabajo en el que quede perfectamente definida la segregación de tareas. Dicho de otro modo: se tiene que establecer con exactitud quién tiene que hacer cada función y cómo ejecutarla.

 

Los dueños del riesgo

La norma ISO 27001 establece la figura de Dueño del Riesgo, asociándose cada amenaza potencial o real a un responsable. Este será la persona que se asegura que se lleven a cabo las distintas actividades.

Dicho responsable no tiene por qué ser la persona que finalmente ejecuta los controles. Puede ser alguien que se responsabiliza de que realmente los controles se están llevando a cabo acorde a lo establecido.

Por lo tanto, es necesario definir la estructura organizacional del SGSI, seleccionado el personal idóneo dependiendo del tamaño de la empresa y el alcance definido para la implantación del SGSI. De acuerdo a las dos anteriores variables, se puede determinar el número de profesionales con los perfiles necesarios que formarán parte del grupo de seguridad de la información de la institución.

 

La Plataforma ISOTools facilita la automatización de la ISO 27001

La ISO 27001 para los SGSI es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 y OHSAS 18001 de una forma sencilla gracias a su estructura modular.

 

CTA Tira e-book ISO 27001

E-book gratis la norma ISO 27001

top