LinkedIn Google+

Los sistemas de gestión de seguridad de la información basados en UNE-ISO/IEC 27001:2014 tienen como uno de sus principales requisitos, la evaluación de los riesgos

Sin embargo, no siempre este requisito es atendido de forma tal que permita aportar el valor necesario al SGSI. Esto es, en general, debido a un enfoque erróneo en la metodología aplicada o por falta de conocimiento suficiente del responsable de la implantación.

El análisis de riesgos es una herramienta fundamental en la gestión de la seguridad de la información, ya que permite conocer la exposición de los diferentes activos dentro del alcance de la organización, evaluar las necesidades de mitigación del riesgo, priorizar las acciones, dimensionar los recursos, y tomar decisiones informadas en general.

El análisis de riesgos permite justificar cada acción del SGSI

Las empresas cuentan con recursos limitados, por lo que deben decidir eficientemente donde aplicarlos. El análisis de riesgos permite determinar dónde aplicar los recursos disponibles para la gestión de la seguridad, allí donde son más necesarios.

Un análisis de riesgos que simplemente busque cumplir el requisito de la norma de referencia, no aportará estas ventajas, lo que llevará a la empresa a aplicar sus recursos de manera ineficaz y no permitirá justificar las decisiones de la gestión de la seguridad de la información.

Metodologías

Una buena metodología de análisis de riesgos, incluirá la dependencia entre activos que permita la propagación de las valoraciones en el análisis de impacto, al menos 3 dimensiones a valorar (confidencialidad, integridad y disponibilidad), incluirá tipos de activos con sus amenazas y vulnerabilidades intrínsecas, permitirá valorar vulnerabilidades en función de mejores prácticas de seguridad, registrará la gestión sobre los riesgos y permitirá obtener una declaración de aplicabilidad y un plan de tratamiento trazable con sus resultados.

Este tipo de metodologías no suele verse en todos los sistemas de gestión de seguridad de la información. Incluso metodologías bien conocidas, no cubren todas esas características.

La forma de determinar si una metodología aporta o no el valor que el SGSI espera de ella, es comprobar si existe relación entre la aplicación de controles de seguridad del Anexo A de la norma UNE-ISO/IEC 27001:2014 y los resultados del riesgo.

Ante una metodología que no aporte valor, se comprobará que, tras la obtención de los resultados y la gestión del riesgo, no puede trazarse la implantación de controles, evidenciándose una definición arbitraria de la declaración de aplicabilidad y del plan de tratamiento.

Por otro lado, una metodología de análisis de riesgos que aporte valor al SGSI, permitirá al Responsable de Seguridad y al Comité de Seguridad analizar las necesidades de recursos y justificar su solicitud a la alta dirección.

La toma de decisión que se le pide a la alta dirección, debe estar acompañada de la información necesaria para que el responsable de decidir conozca la situación actual, las opciones disponibles, las mejoras e impactos frente a las diferentes decisiones, de manera que pueda valorar y decidir de manera informada.

El SGSI se basa en su análisis de riesgos para definir qué decisiones deben pedirse a la alta dirección y para proporcionar la información necesaria para una buena decisión.

Artículo anterior

PERDER EL MIEDO AL CLOUD COMPUTING

Artículo siguiente

LAS 'Vs' DEL BIG DATA

Sin Comentarios

Responder

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *