Análisis de riesgo

Identificar y gestionar los riesgos a los cuales están expuestos los activos de información, para preservar su confidencialidad, integridad y disponibilidad, utilizando un proceso sistemático para lograr un adecuado tratamiento de los riesgos e implementación de controles efectivos. Para este propósito nos apoyaremos en la norma ISO 27005:2018 y la ISO 31000:2018.

ISO 31000:2018

ISO 31000:2018 solo formula recomendaciones y eso significa que no permite la implementación de un sistema de gestión certificable. Sin embargo, los principales cambios en ISO 31000:2018 resultan importantes ya que se alinean con el enfoque basado en el riesgo, presente en normas como ISO 9001 e ISO 14001. (https://www.iso.org/iso-31000-risk-management.html)

  • Lenguaje novedoso y simplificado dentro de una estructura de referencias.
  • Énfasis a lo largo de toda la norma sobre el papel de liderazgo de la Alta Dirección y la responsabilidad que debe asumir para garantizar que la gestión de riesgos se integre transversalmente en la organización.
  • Énfasis a la naturaleza dinámica y cambiante de la gestión de riesgos, que exige la necesidad de que las organizaciones evalúen sus riesgos y sus impactos, a la luz de nuevas circunstancias o factores en el contexto externo o interno.
  • Un enfoque genérico que permite que la norma se utilizada en varios campos de la industria.

Identificación de vulnerabilidades de los activos

Debe identificarse la forma como cada una de las amenazas podría materializarse, es decir, que vulnerabilidades permiten que las amenazas se conviertan en situaciones de riesgo reales.

Algunos tipos de vulnerabilidades:

  • Ausencia de políticas
  • Configuraciones no seguras
  • Empleado descontento
  • Empleado deshonesto (sobornado o víctima de chantaje)
  • Errores de configuración.
  • Falta de actualizaciones
  • Uso de servicios inseguros
  • Uso de protocolos inseguros

Confidencialidad:

Los activos de información reciben una valoración alta cuando su nivel de confidencialidad es mayor, teniendo en cuenta que la divulgación no autorizada de la misma puede afectar en alguna medida los intereses, imagen y operación de la compañía.

Integridad:

Los activos son valorados con mayor valor cuando su alteración puede generar daños graves a la organización.

Disponibilidad:

Los activos de una determinada organización tendrán mayor valor en la medida que si no están disponibles se impactará gravemente el negocio. Igualmente, un activo que al no estar disponible no afecte de ningún modo el negocio, tendrá un menor valor.

Identificación de amenazas posibles

Las amenazas son resultados de actos deliberados que pueden afectar nuestros activos o los activos de información, sin embargo, existen eventos naturales o accidentales que deben ser considerados por su capacidad de generar incidentes de seguridad.

Identificar controles existentes

Los controles existentes son las medidas con que se cuentan para reducir la exposición a los riesgos: procedimientos, mecanismos, controles tecnológicos, etc. Para identificar los controles existente puede utilizarse como referencia el anexo A del estándar ISO/IEC 27001/2013.

Priorizar los riesgos sobre los activos

El riesgo nos muestra el grado de exposición frente a las amenazas evaluadas, es posible distinguir entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables, y establecer la prioridad de las acciones requeridas para su tratamiento.

Plan de tratamiento de riesgos

Una vez seleccionado los controles que serán implementados para mitigación de riesgos es necesario elaborar un plan de acción que garantice un efectivo despliegue de los mismos.

La elaboración del plan de tratamiento de riesgos será responsabilidad del Oficial de Seguridad y la respectiva aprobación de los mismos del Comité de Seguridad.

Leave a comment