Todo lo que debes saber sobre la evaluación de riesgos y el análisis de brechas en la ISO 27001

¿No tienes tiempo para construir los documentos del Sistema de Gestión?

Kit de Certificación ISO 22000:2018

Kit de Certificación ISO 9001:2015

Kit de Certificación ISO 27001:2013

En la mayoría de los procesos de implementación de sistemas de gestión ISO existe una diferencia clara entre la evaluación de riesgos y el análisis de brechas. Sin embargo, particularmente en la ISO 27001 esto no ocurre y siempre se terminan confundiendo como un mismo enfoque.

 

Aunque la utilidad de ambos procesos se centra en la gestión del riesgo, en un Sistema de Seguridad de la Información existen elementos que distinguen uno del otro, y que son importantes conocer para la eficacia general del mismo.

 

Comprender la diferencia entre la evaluación de riesgos y el análisis de brechas te ayudará a definir convenientemente cuándo y para qué aplicar cada uno. No obstante, para lograr esto, debes tener claridad sobre qué es y cuáles son los aportes de estos procesos dentro de un Sistema de Gestión de la Seguridad de Información.

 

¡Empecemos!

 

¿Qué es el análisis de brechas ISO 27001?

 

El análisis de brechas en ISO 27001 es la comparación entre la teoría y la práctica, es decir, entre los requisitos de la norma y lo que se ha implementado en la organización.

 

Este enfoque es la opción más directa. Sólo se necesita enlistar los controles enumerados en el Anexo A de la ISO 27001 e ir verificando el cumplimiento de cada elemento.

 

La no implementación de un control indica la existencia de una brecha. Es necesario registrar claramente cuál es la brecha y dónde se identificó para adoptar las medidas correspondientes.

 

La magnitud de una brecha dependerá del grado de cumplimiento, el cual se puede determinar teniendo en cuenta:

 

  • Los requisitos que no se han implementado y que tampoco se planea hacerlo.

 

  • Los requisitos que no se han implementado, pero se planea hacerlo.

 

  • Los requisitos que se cumplen parcialmente y sus efectos son parciales.

 

  • Los requisitos implementados sin ningún tipo de revisión y control.

 

  • Los requisitos implementados que se miden, evalúan y mejoran continuamente.

 

En la ISO 27001 el análisis de brechas es obligatorio. Sin embargo, solo hay que definir en la declaración de aplicabilidad los controles del Anexo A que se implementarán. No es necesario realizar este proceso para las cláusulas de la parte principal de la norma.

 

Entre los beneficios de este método está la rapidez, el bajo costo y la facilidad con la que se puede llevar a cabo. No obstante, el análisis de brechas no determina la necesidad de implementar cada control enumerado en el Anexo A, por lo que el riesgo de adoptar controles de implementación costosa y de poco valor para el SGSI es muy alto.

 

Herramientas para el análisis de brechas

 

Algunas herramientas que pueden ayudar a la organización a identificar las brechas y superarlas son:

 

  • Análisis FODA: Se centra en las Fortalezas, Debilidades, Oportunidades y Amenazas del contexto interno y externo de un SGSI.

 

  • Las 7S de McKinsey: Identifica en las áreas críticas las brechas existentes para intervenirlas a partir de la estrategia, los sistemas, la estructura, los valores, las habilidades, el personal y el estilo de la organización.

 

  • Modelo de congruencia de Nadler y Tushman: Su principio indica que el desempeño del SGSI es producto del trabajo, la estructura, las personas y la cultura del negocio.

 

Evaluación de riesgos ISO la 27001

 

En comparación con el análisis de brechas, la evaluación de riesgos es un proceso complejo que toma más tiempo, pero ofrece grandes ventajas al momento de demostrar con argumentos por qué es necesario un control en particular.

 

En un sistema de gestión ISO 27001, la evaluación de riesgos es un paso crítico. Gracias a este proceso es posible identificar los controles de seguridad que la organización debe implementar, en el caso de que existan riesgos potenciales que así lo justifiquen.

 

La relación entre los riegos y controles es directamente proporcional, es decir, a mayor riesgo, mayor necesidad de controles. La evaluación de riesgos bajo la ISO 27001 garantiza que no se implementen controles donde no existen riesgos, lo que permite ahorrar tiempo y dinero.

 

El proceso inicia con la elaboración de una larga lista de riesgos, a los que se les asigna una puntuación de riesgo. Este valor se estima teniendo en cuenta la probabilidad y el impacto. Es importante priorizar los eventos con puntuación más alta, centrándose en los controles de la ISO 27001 que permitan abordar los problemas más relevantes.

 

La evaluación de riesgos ayuda a determinar el impacto para el negocio cuando sus activos de información están comprometidos, es decir, se afecta la confidencialidad, integridad o disponibilidad, ya sea de forma deliberada o accidental.

 

También hace posible conocer la probabilidad del compromiso, esto debido a que se identifica la naturaleza de las amenazas que afrontan los activos, así como las vulnerabilidades que podrían facilitar que el riesgo se materialice.

 

De esta forma, a partir de los impactos, las amenazas y vulnerabilidades, se logra definir y cuantificar los riesgos que afectan a la organización.

 

Con esta información se evalúa si el riesgo está por encima o por debajo del apetito del riesgo corporativo, priorizando los riesgos urgentes e implementando el tratamiento más eficaz.

 

La norma proporciona una lista con todos los elementos que podrían ayudar, pero depende del interés de cada organización cuáles decide implementar. Por lo tanto, en caso de que no existan riesgos que justifiquen el uso de un determinado control, no es necesario implementarlo.

 

De cualquier forma, con la evaluación de riesgos es posible justificar por qué es pertinente implementar cada control, lo que da solidez a las decisiones de la organización y motiva al personal a cumplir con los requisitos.

 

Diferencias entre el análisis de brechas y la evaluación de riesgos en la ISO 27001

 

Una vez comprendido cada proceso y su aplicación, es momento de identificar que los hace diferentes.

 

Por un lado, con el análisis de brechas la organización conoce a qué distancia se encuentra del cumplimiento de los requisitos y controles de la norma. Sin embargo, este proceso no informa sobre los problemas o posibles fallas que pueda presentar el sistema. Esa es una tarea propia de la evaluación de riesgos.

 

Para entender al riesgo, su magnitud, probabilidad de ocurrencia e impacto está la evaluación de riesgos. De hecho, es tan importante, que, sin ella, no es posible completar el análisis de brechas requerido para desarrollar la declaración de aplicabilidad.

 

En este sentido, primero se debe cumplir con la evaluación de riesgos para que el análisis de brechas sea completo y su enfoque confiable. De ninguna manera un proceso puede reemplazar al otro, ambos se complementan.

¿Cómo saber cuál elegir?

 

Como te mencioné anteriormente, la utilidad del análisis de brechas se centra en permitirle a la organización visualizar los enfoques y controles de seguridad de la información que ha implementado.

 

Cuando los controles corresponden a una fuente confiable, como la ISO 27001, la organización está mejorando y promoviendo buenas prácticas en seguridad de la información.

 

Sin embargo, en caso de que la alta dirección solicite pruebas que justifiquen la necesidad de implementar uno u otro control antes de aprobar la liberación de los recursos, el análisis de brechas no proporciona la información adecuada para atender esta solicitud.

 

En cambio, la evaluación de riesgos ofrece todas las evidencias que garantizan a la dirección y al personal que los recursos están siendo bien utilizados

 

También posibilita adoptar un enfoque priorizado, más cuando los recursos son finitos y la implementación de algunos controles debe posponerse hasta que haya disponibilidad presupuestal suficiente.

 

El análisis de brechas no facilita la información pertinente para determinar qué controles se deben implementar primero, aunque los resultados de la evaluación de riesgos sí lo hacen.

 

Otro motivo por lo que frecuentemente se prefiere la evaluación de riesgos, es su capacidad para asegurar la conformidad con los requisitos de la norma ISO 27001.

 

Incluso si la organización no busca la certificación, el sólo hecho de lograr la conformidad con la norma significa que está implementando los elementos obligatorios del sistema de gestión. 

 

Sea por compromiso con la seguridad de la información o la búsqueda de la certificación, la evaluación de riesgos cumple requisitos fundamentales y proporciona un plan de acción priorizado.

 

Conclusión

 

Recuerda que tanto la evaluación de riesgos como el análisis de brechas son procesos fundamentales para garantizar la seguridad de la información y la eficiencia general del sistema.

 

Ahora que ya lo sabes, aprovecha los beneficios que cada uno de estos enfoques tiene para tu organización.

 

Si este post te ha sido de utilidad me gustaría que lo compartas en tus redes sociales.

 

¡Nos vemos en breve!

 

Talvez te interese leer más sobre:

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *