ISO 27001:2005 es un estándar basado en un enfoque de riesgo del negocio, para establecer, implantar, operar, monitorear, mantener y mejorar la seguridad de información. Un sistema de gestión incluye, estructura organizacional, políticas, planeación de actividades, responsabilidades, prácticas, procedimientos, procesos y recursos.
De la familia
de normas 27000 que específicamente se encarga de la gestión de riesgos de
seguridad de la información se encuentra el estándar 27005:2008. Para llevar a
cabo la gestión de riesgo bajo la norma ISO
27005:2008 se debe realizar los siguientes pasos:
Figura 1: Proceso de Análisis y evaluación de riesgos. Fuente
www.centrum.pucp.edu.pe
ANÁLISIS DE RIESGOS
Su
objetivo es identificar los riesgos basados en la identificación de activos,
amenazas y vulnerabilidades.
Definición del alcance
del modelo.
Es una de
las actividades más importantes ya que define a quienes afecta puede ser toda
la organización, una parte de ella, un simple proceso o un sistema de
información.
Se
define en términos de las características del negocio, la organización, su
ubicación, activos y tecnología.
Se debe mostrar las
relaciones que existen entre los diferentes activos de información involucrados
en la empresa para ello se emplea una elipse con el cual se identifican los
activos de información existentes dentro del alcance del modelo.
Figura 2: Diagrama de elipses. Fuente www.centrum.pucp.edu.pe
Identificación de activos
Es
importante identifica los activos informáticos, porque el análisis y la
evaluación del riesgo y las decisiones que se tomen en relación con el
tratamiento del riesgo en la empresa giran alrededor de los activos de
información identificados.
Los
activos de información se clasifican en las siguientes categorías:
- Activos de información.
- Documentos de papel.
- Activos de software.
- Activos físicos
- Personal
- Imagen de la compañía y reputación
- Servicios.
Tasación de activos.
En
esta actividad se asigna por importancia en términos de la importancia que
tenga para la empresa, se mira su impacto con relación a su confidencialidad,
integridad y confidencialidad.
Grado de Impacto
|
Valor
|
Muy poco
|
1
|
Poco
|
2
|
Medio
|
3
|
Alto
|
4
|
Muy alto
|
5
|
Tabla 1. Grado de Impacto Fuente: El autor
Activos de
Información
|
Confidencialidad
|
Integridad
|
Disponibilidad
|
Total
|
Base de datos clientes
|
2
|
5
|
5
|
4
|
Base de datos ahorros
|
5
|
5
|
4
|
5
|
Switches
|
1
|
1
|
5
|
2
|
Routers
|
1
|
1
|
5
|
2
|
Cámaras
|
1
|
1
|
5
|
2
|
Discos Duros
|
4
|
1
|
3
|
4
|
Tabla 2. Tasación de activos de
información. Fuente: el autor
La tasación
se obtuvo sumando los tres valores y dividiéndolos por tres.
Igualmente
se deben identificar los propietarios de los activos de información.
Activos de Información
|
Propietarios
|
Base de datos
clientes
|
Sistemas
|
Base de datos
ahorros
|
Sistemas
|
Switches
|
Sistemas
|
Routers
|
Sistemas
|
Cámaras
|
Seguridad Integral
|
Discos Duros
|
Seguridad Integral
|
Tabla 3. Activos de información y
propietarios. Fuente: el autor
Identificación de amenazas.
Se
define como amenaza, la indicación de un potencial evento no deseado. Se
identifican las amenazas, porque pueden causar un incidente no deseado que
puede generar daño a la organización y sus activos.
Estas se
pueden clasificar en:
- Amenazas naturales.
- Amenazas a instalaciones.
- Amenazas humanas.
- Amenazas tecnológicas.
- Amenazas operacionales.
- Amenazas sociales.
Probabilidad de ocurrencia de
amenazas.
Por
cada amenaza, se mide su posibilidad de ocurrencia, se utiliza la siguiente
escala:
Posibilidad de ocurrencia
|
Valor
|
Muy bajo
|
1
|
Bajo
|
2
|
Medio
|
3
|
Alto
|
4
|
Muy alto
|
5
|
Tabla 4. Probabilidad de ocurrencia de
amenazas. Fuente: el autor.
Identificación de vulnerabilidades.
Se
definen como debilidades de seguridad asociadas con los activos de información
de una organización.
Se
pueden clasificar así:
- Seguridad de los recursos humanos.
- Control de acceso.
- Seguridad física y ambiental.
- Gestión de operaciones y comunicación.
- Mantenimiento, desarrollo y adquisición de sistemas de información.
Posible explotación de
vulnerabilidades.
Identificadas
las vulnerabilidades se debe evaluar la posibilidad de ocurrencia de cada una
de ellas. Se debe utilizar la siguiente escala:
Posibilidad de ocurrencia
|
Valor
|
Muy bajo
|
1
|
Bajo
|
2
|
Medio
|
3
|
Alto
|
4
|
Muy alto
|
5
|
Tabla 5. Probabilidad de ocurrencia de
vulnerabilidades. Fuente: el autor.
EVALUACIÓN DE RIESGO
Compara
los riesgos estimados contra los criterios de riesgo establecidos o dados, para
determinar el grado de importancia del riesgo, el riesgo es evaluado
contemplando tres elementos básicos:
Estimado del valor de los activos de
riesgos.
Su
objetivo es determinar el daño económico que el riesgo pudiera causar a los
activos evaluados. El valor de los activos expresan el impacto de la pérdida de
la confidencialidad, integridad y disponibilidad.
Nivel
|
Descripción
detallada
|
1
|
Pérdidas financieras
pequeñas
|
2
|
Medianas pérdidas financieras
|
3
|
Pérdidas financieras
altas
|
4
|
Pérdidas financieras importantes
|
5
|
Enorme pérdida
financiera
|
Tabla 6. Estimación del impacto
económico de la amenaza. Fuente: el autor.
Igualmente
puede hacerse dando un valor monetario a cada activo de acuerdo al valor de
referencia del mercado y su importancia para la empresa.
Probabilidad de ocurrencia del riesgo.
La
probabilidad de que el riesgo ocurra se basa en las amenazas y vulnerabilidades
y los valores que se le han calculado.
Se
obtiene al multiplicar el valor del activo por la probabilidad de ocurrencia
del riesgo.
Activo
|
Valor del activo
|
Probabilidad de ocurrencia del riesgo
|
Medición del Riesgo
|
Priorización.
|
Base de datos
ahorros
|
5
|
3
|
15
|
1
|
Base de datos
clientes
|
4
|
3
|
12
|
2
|
Routers
|
2
|
2
|
4
|
3
|
Tabla 7. Calculo del riesgo. Fuente:
el autor.
Imagen 3. Análisis y evaluación del Riesgo, método semicuantitativo.
Fuente: www.centrum.pucp.edu.pe
REFERENCIAS BIBLIOGRAFICAS
Alexander, A., – Omega
(Eds.). (2007). Diseño de un Sistema de Gestión
de Seguridad de Información. Optica ISO 27001:2005, Colombia: Alfaomega
Colombia.
Iso (2013). ISO 27000.
Recuperado de http://www.iso27000.es/download/doc_iso27000_all.pdf
Iso (2013). Análisis de riesgo.
Recuperado de http://www.iso27000.es/herramientas.html#section7b