Evaluar riesgos en ISO 27001
De cara a evaluar riesgos en ISO 27001, de acuerdo a la última revisión de 2013 de este estándar, la organización tiene flexibilidad a la hora de elegir aquella metodología que considere más oportuna para realizar la identificación y evaluación de riesgos.
Entre las metodologías para evaluar riesgos en ISO 27001, una que consideramos muy adecuada es la que la antigua versión de la norma ISO 27001 de 2005 establecía como la obligatoria para evaluar riesgos en ISO 27001.
Esta metodología busca analizar la combinación de activos, amenazas y vulnerabilidades como manera de identificar los riesgos existentes.
Documentación de la identificación de riesgos
En todo proceso de evaluar riesgos en ISO 27001, el primer paso es realizar una identificación de los mismos, para que, una vez detectados los posibles riesgos podamos evaluar los impactos y probabilidades que suponen para la organización.
Podemos simplificar este proceso de evaluar riesgos en ISO 27001 mediante el uso de un documento en el que reflejemos por columnas estos tres elementos que hemos mencionado y que son los activos, las amenazas y las vulnerabilidades.
De manera adicional, en este documento, podemos incorporar información adicional que permita una mayor identificación del riesgo, el propietario del mismo, su impacto y probabilidad, entre otra información considerada de interés.
Así pues, con esta metodología basada en la identificación en columnas de estos tres elementos, comenzaríamos en primer lugar haciendo una lista de todos nuestros activos que tenemos en la organización. A continuación, para cada activo, tratamos de buscar dos amenazas. Finalmente, para cada amenaza definida, lo ideal sería definir dos vulnerabilidades.
CTA 27001 EBOOK BOTON
Relación existente entre el activo, las amenazas y las vulnerabilidades
Para ver con mayor claridad este método para evaluar riesgos en ISO 27001, vamos a exponer los siguientes ejemplos, en el que analizamos la relación entre activos, amenazas y vulnerabilidades:
Activo de la organización: documento digital.
- Amenaza 1 detectada: fallos que puedan surgir en el disco.
- Vulnerabilidad para esa amenaza: El hecho de no haber copias de seguridad de tal documento, generando la pérdida de la disponibilidad del mismo.
- Amenaza 2 detectada: posibilidad de virus.
- Vulnerabilidad para esa amenaza: que el programa antivirus no se hubiera actualizado correctamente, provocando la pérdida de integridad, disponibilidad y confidencialidad.
- Amenaza 3: acceso no autorizado al documento.
- Vulnerabilidad para esa amenaza: que el esquema existente para el control del acceso no se hubiera definido adecuadamente, lo que provoca una pérdida del carácter confidencial, de la integridad y de la disponibilidad de la información recogida en ese documento digital.
Activo de la organización: el administrador del sistema.
- Amenaza 1: que esta persona no esté disponible.
- Vulnerabilidad para esa amenaza: que no exista otra persona capaz de sustituir a dicho administrador, generando la un pérdida potencial de la disponibilidad del sistema.
- Amenaza 2: existencia de errores frecuentes en la gestión.
- Vulnerabilidad para esa amenaza: indicaría una falta de formación específica.
Aunque a priori, este método de evaluar riesgos en ISO 27001 pueda parecer algo complicado, una vez integrado en la organización, te permitirá realizar este trabajo de una manera organizada y sistemático.
Se recomienda la lectura de ISO 27001: cómo gestionar incidencias de seguridad de la información.
Lo ideal, a la hora de analizar riesgos mediante esta metodología, es que para cada activo de la organización, se identifiquen aproximadamente en torno a 1o amenazas y a su vez para cada amenaza, definir unas 5 vulnerabilidades.
No obstante, para las organizaciones pequeñas, la aplicación del método para la totalidad de sus activos (en torno a 50) en la combinación de activos, amenazas y vulnerabilidades, en las cantidades antes mencionados, podría generar la identificación de una cantidad excesiva de riesgos. Por ello, en estas organizaciones, recomendamos,aplicar el método al conjunto de todos sus activos, pero poniendo la atención en aquellas amenazas y vulnerabilidades consideradas más relevantes, para poder hacer más manejable la evaluación de riesgos.
En general, consideramos que está metodología para evaluar riesgos en ISO 27001 aporta un equilibrio óptimo puesto que permite la realización de tal evaluación de manera rápida a la vez que detallada y de una manera sistemática, mostrando el origen del posible problema de seguridad, antes de que éste suceda, es decir adelantándose a los mismos.
Software ISO 27001
El Software ISO 27001 de ISOTools Excellece aporta total seguridad a la información de tu organización. Gracias a la automatización, verás agilizado toda la gestión de su Sistema de Gestión de la Seguridad de la Información, optimizando al mismo tiempo la eficiencia de éste.
Si estás pensando en implementar un SGSI basado en los requisitos de la norma ISO 27001, puedes solicitar que nuestros consultores se pongan en contacto contigo y resuelvan todas tus dudas.
CTA 27001 TIRA EBOOK
¿Desea saber más?
Entradas relacionadas
29 diciembre, 2017
Decreto 1072 La norma OHSAS 18001 y el Decreto 1072 de 2015 siguen la metodología de mejora continua…
22 diciembre, 2017
Gestión de riesgos Las nuevas versiones de la norma ISO 9001 e ISO 14001 exigen que todas las…
15 diciembre, 2017
Software ISO 9001 Durante este artículo queremos que conozca cómo puede ayudarle el software ISO 9001 ISOTools. Es…
8 diciembre, 2017
Decreto 1072 Conservar los documentos es necesario como medida preventiva adoptada para asegurar la integridad física y funcional…