7 Pasos para realizar la evaluación de riesgos bajo la ISO 27001 en tu organización

¿No tienes tiempo para construir los documentos del Sistema de Gestión?

Kit de Certificación ISO 22000:2018

Kit de Certificación ISO 9001:2015

Kit de Certificación ISO 27001:2013

La evaluación de riesgos en ISO 27001 es un proceso dividido en tres partes. En un principio la organización identifica los activos, las fortalezas y amenazas relacionadas a la seguridad de la información. Posteriormente evalúa las consecuencias y probabilidades relacionadas a cada riesgo, y por último define los controles para eliminar o reducir el impacto.

 

Un proceso completo de evaluación de riesgos es clave para asegurar un sistema de gestión ISO 27001 que apunte hacía la integridad, disponibilidad y confidencialidad de la información.

 

Muchas organizaciones comenten el error de abordar la gestión de riesgos bajo metodologías diferentes para cada área o departamento, situación que conduce al fracaso la evaluación y tratamiento de los riesgos.

 

De modo que para asegurar el éxito del proceso en términos de cumplimiento de los objetivos y resultados previstos, la organización debe definir un método de evaluación y supervisar que todas las partes interesadas lo cumplan y se ciñan a unas mismas reglas. 

 

Aunque la norma requiere que las organizaciones desarrollen la evaluación de las consecuencias y la ocurrencia de los riesgos, no determina en sí una metodología para llevarse a cabo.

 

Es así como este nuevo post te indicará los 7 mejores pasos para realizar la evaluación de riesgos de la seguridad de la información en tu organización.

 

Empecemos!

Paso 1. Define la metodología de gestión de riesgos

 

Lograr buenos resultados en una evaluación de riesgos es posible mediante una metodología que incluya todos los elementos necesarios para el proceso. Esto significa tener en cuenta:

 

  • Los requisitos e intereses de la seguridad de la información de tu organización.

 

 

  • Cuáles son los propietarios de cada riesgo.

 

  • Cómo los riesgos alteran la confidencialidad, integridad y disponibilidad de la información.

 

  • Cuál será el método para determinar el nivel de impacto y ocurrencia del riesgo.

 

  • Los recursos de tiempo y dinero para el desarrollo de la evaluación de riesgos.

 

  • Los criterios de aceptación para cada riesgo.

 

  • El valor del activo de la información sobre el que actúa el riesgo.

 

Paso 2. Identificar los riesgos en seguridad de la información

 

Procura invertir todos los recursos necesarios de tiempo, dinero y personas para garantizar que la identificación de los riesgos sea completa, detallada y no presente errores. Para este proceso es importante:

 

  • Conocer los activos de la información y registrarlos en un inventario.

 

  • Tener claras las amenazas de seguridad de la información aplicables a tu organización (inundaciones, hackers, incendios, extorciones, robos, etc.)

 

  • Determinar la vulnerabilidad de los activos frente a las amenazas encontradas anteriormente en relación su confidencialidad, integridad y disponibilidad.

Paso 3. Analizar las consecuencias y la probabilidad del riesgo

 

La importancia de un riesgo está determinada por la probabilidad de materializarse y el impacto sobre el activo al que pertenece.

 

El nivel del riesgo se obtiene de la relación entre estos dos factores. El método para precisar el impacto y la ocurrencia del que hablamos en el paso 1, te permitirá definir los criterios de aceptación para cada riesgo.

 

Considera el nivel de riesgo como potencial y actual. Se  estima potencial cuando no se ha implementado ningún tipo de control, mientras que para el actual se tienen en cuenta las medidas implementadas para el tratamiento del riesgo y es este nivel el que determina si se deben o no aplicar nuevos controles.

 

Paso 4. Evaluar el riesgo

 

Hasta el momento llevas la identificación de los riesgos, el análisis de la ocurrencia e impacto, y el nivel de riesgo de cada uno.

 

Ahora debes evaluar los riesgos a partir de los criterios de aceptación que con anterioridad has definido, para ello has de comparar el nivel de riesgo de cada uno con el límite prefijado.

 

Como resultado de este paso obtendrás una lista de riesgos “aceptables” y otra de “no aceptables”. Los primeros pasan a considerarse riesgos residuales y los segundos te permiten estructurar un plan de tratamiento de riesgos con los controles pertinentes para eliminarlos o mitigarlos.

 

Paso 5. Definir el tratamiento de los riesgos

 

Entre las alternativas que tienes para dar tratamiento a los riesgos se encuentra:

 

  • Eliminar el riesgo completamente.

 

  • Aplicar controles de seguridad sobre el riesgo para modificarlo.

 

  • Transferir el riesgo a un tercero mediante un contrato.

 

  • Aceptar el riesgo en caso de cumplir los criterios de aceptación.

 

Ten presente que la decisión que elijas para controlar los riesgos debe corresponder a las características, recursos e intereses de tu organización. Debes apoyarte en los siguientes controles del Anexo A de la norma para poder prevenir eficazmente los riesgos:

 

A.5 Políticas de seguridad de la información.

 

A.6 Organización de la seguridad de la información.

 

A.7 Seguridad de los recursos humanos.

 

A.8 Gestión de activos.

 

A.9 Control de acceso.

 

A.10 Criptografía.

 

A.11 Seguridad física y ambiental.

 

A.12 Seguridad operativa.

 

A.13 Seguridad de las comunicaciones.

 

A.14 Adquisición, desarrollo y mantenimiento del sistema.

 

A.15 Relaciones con proveedores.

 

A.16 Gestión de incidentes de seguridad de la información.

 

A.17 Aspectos de seguridad de la información de la gestión de la continuidad del negocio.

 

A.18 Cumplimiento.

Paso 6. Elaborar los informes

 

Los informes son la evidencia de que tu organización ha realizado un proceso, un cambio o una mejora. Los resultados y los hallazgos debes documentarlos a través de un informe y formular un plan de acción sobre este.

 

Entre los informes que debes presentar ante una auditoria están:

 

-Informe sobre la declaración de la aplicabilidad

 

Debes documentar aquellos controles que tu organización implementará y los que no, frente a cada uno es importante justificar el porqué de la decisión.

 

Incluye dentro de este informe la descripción del progreso en la implementación, los detalles y hallazgos encontrados.

 

-Informe sobre el plan tratamiento de riesgos

 

En este informe debes resumir los riesgos identificados y las acciones implementadas para su tratamiento partiendo de la clasificación en términos de gravedad, costo y beneficio. También es importante que  presentes el cronograma, los responsables y los recursos asignados para este plan.

 

Como parte del informe puedes producir un documento que describa el proceso de evaluación, los criterios de aceptación, el impacto y la probabilidad de cada riesgo.

 

También puedes hacer un contraste entre el riesgo residual y el actual para evidenciar la eficacia de las acciones abordadas.

 

Paso 7. Monitorear y auditar

 

La organización debe ejecutar auditorías internas periódicamente al Sistema de Gestión de la Seguridad de la Información para realizar los ajustes y mejoras que garanticen su desempeño óptimo.

 

La certificación acreditada de tu sistema es la prueba máxima de que tu organización mantiene una eficaz seguridad de la información.

 

Vulnerabilidad y amenaza

Antes de comenzar con el proceso de evaluación de riesgos de la seguridad de la información es clave que tengas clara la diferencia entre amenaza y vulnerabilidad. Aunque en la norma ambas cualidades van de la mano y se abordan en conjunto, son diferentes:  

 

Vulnerabilidades

 

Son todos los defectos o fallos presentes en un activo del sistema que pone en riesgo la seguridad de la información, por ejemplo:

 

-Contraseñas mal gestionadas.

 

-Eliminar inadecuadamente información del almacenamiento.

 

-Exposición de los equipos a malas condiciones de humedad, temperatura, polvo, etc.

 

-Cableado inseguro.

 

-Gestión inadecuada de cambio y capacidad del sistema.

 

-Falta de control en el acceso.

 

-Incorrecto mantenimiento.

 

-Gestión de red impropia.

 

-Falta de conciencia sobre la seguridad de la información.

 

-Falta de control y seguimiento a los empleados.

 

-Falencias en las pruebas de software.

 

-Ausencia de políticas de acceso remoto.

 

-Falta de auditorías internas.

 

-Falta de control en la descarga de internet.

 

-Falta de compromiso y motivación en los empleados.

 

Amenazas

 

Son situaciones externas que maximizan una vulnerabilidad del sistema afectando directamente la integridad, confidencialidad y disponibilidad de la información. Por ejemplo:

 

-Acceso de personas no autorizadas a los activos de la información.

 

-Exponer información confidencial.

 

-Daños causados por personas ajenas al sistema.

 

-Alteración de la información en las pruebas de penetración.

 

-Perdida de registros.

 

-Desastres naturales.

 

-Desastres causados por personas, grupos ilegales, desorden social, etc.

 

-Revelación de contraseñas.

 

-Fallas de mantenimiento.

 

-Fraudes.

 

-Daño en los equipos.

 

-Errores en las actualizaciones.

 

-Uso inadecuado del activo.

 

Consejos para una evaluación de riesgos exitosa

 

-Procura involucrar a las personas clave y adecuadas del sistema.

 

-Fomenta la comunicación abierta, sólida y participativa entre las partes interesadas.

 

-Escucha todas las perspectivas y puntos de vistas de las personas clave.

 

-Analiza el riesgo teniendo en cuenta su naturaleza, su tipo, nivel,  ocurrencia, etc.

 

-Aborda la evaluación de riesgos dentro de una misma metodología en toda la organización.

 

-Integra dentro del proceso de evaluación estrategias dinámicas que permitan evidenciar los cambios del entorno que afecten a la organización.  

 

-Emplea el análisis de causa raíz para definir, comprender e intervenir el riesgo, sus fuentes y escenarios.

 

-Incluye los riesgos emergentes que afectan la ciberseguridad de tu organización.

 

Conclusión

 

El entorno en el que se desarrolla tu organización es dinámico e impredecible haciendo que los cambios externos representen un gran riesgo para la seguridad informática. 

 

En este sentido, la evaluación y gestión de riesgos se convierte en una decisión estratégica para asegurar la confidencialidad, integridad y disponibilidad de la información, y  además permitir a tu organización enfocar y destinar  sus esfuerzos en las áreas que más lo necesitan y conducirlos a la mejora continua.

Si este post te ha sido de utilidad me gustaría que lo compartas en tus redes sociales.

 

Nos vemos en breve!

Talvez te interese leer más sobre:

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *