LinkedIn Google+

Se suele ver en sistemas de gestión de seguridad de la información, que el análisis de riesgos se realiza cuando toca, y que hasta la fecha de su revisión no vuelve a tenerse en cuenta.

Ciclo de vida del Análisis de Riesgos

Existen varios enfoques en cuanto al ciclo de vida del análisis de riesgos, el más habitual es el que toma la foto del riesgo en el momento de hacer el análisis y deja los valores obtenidos inmutables hasta la siguiente revisión, donde se toma una nueva foto. Así, cualquier decisión que se tome durante el ciclo anual de mejora continua, está soportada por la foto del riesgo obtenida en el pasado.

Un mejor enfoque, que requiere mayores recursos asignados al proceso de análisis de riesgos es el que obtienen unos resultados cuando toca, define la declaración de aplicabilidad vigente y el plan de tratamientos, e inmediatamente a continuación abre un nuevo análisis en revisión que se mantiene abierto durante el ciclo de mejora anual.

Este análisis, no es una foto de un momento dado, sino que es un análisis ‘vivo’ que recibe información continua de la situación del SGSI, sus incidencias, no conformidades, re planificaciones, cumplimientos o incumplimientos, cambios en el análisis de impacto, en las dependencias, nuevos activos, etc. De esta forma, al momento de ser necesaria una decisión, se cuenta con la información del riesgo vigente en la organización. Cuando llega el momento, el análisis se cierra, obteniéndose la nueva declaración de aplicabilidad vigente y el plan de tratamiento, abriéndose un nuevo análisis en revisión para el siguiente ciclo.

Este último enfoque será el más valorado por el auditor interno o de certificación, ya que permite al SGSI aportar el mayor valor posible a la gestión de la seguridad y la toma de decisiones informadas.

La metodología de análisis de riesgos

Durante el proceso de auditoría, un buen auditor de sistemas de gestión de seguridad de la información según UNE-ISO/IEC 27001:2014 prestará especial atención a la metodología establecida para el análisis de riesgos, la forma en la que la metodología se ha implementado y comprobará que es correcta y aporta el valor necesario al SGSI.

Si la metodología de análisis de riesgos es ‘propietaria’ del SGSI (definida por la empresa, no siendo una bien conocida), el auditor deberá prestar mayor atención, ya que estas metodologías por lo general no son suficientemente eficaces y suelen estar implementadas sobre herramientas ofimáticas (Excel, Access, etc.) que no permiten determinar la traza con las acciones de mitigación y la toma de decisiones.

Incluso implementando una buena metodología, se puede realizar un mal análisis de riesgos, ya que en última instancia será la tarea del responsable de seguridad lo que determine el valor aportado.

Una buena metodología de análisis de riesgos es necesaria, pero no suficiente.

Desviaciones en la realización del análisis de riesgos, que den lugar a no conformidades del SGSI durante el proceso de auditoría, pueden poner en duda todo el trabajo posterior que se ha realizado en la implantación o el mantenimiento de la gestión de la seguridad de la información.

Si las evidencias dejan claro que la definición del SGSI ha sido arbitraria, sin tener en cuenta los resultados de la gestión del riesgo, el auditor puede verse obligado a cerrar el proceso de auditoría y realizar una auditoría extraordinaria más adelante.

No conformidades relacionadas con la metodología, el análisis o la gestión del riesgo son las más serias y con mayor impacto en los sistemas de gestión de seguridad de la información, ya que pueden obligar a la empresa a realizar una nueva implantación basada en un análisis de riesgos adecuado.

En definitiva, si la empresa no implementa una buena metodología de análisis de riesgos, desaprovechando los recursos dedicados al SGSI, los dedicará de forma ineficiente, no tendrá garantías de que la seguridad de la información es la adecuada para sus objetivos de negocio, no tendrá la capacidad de tomar decisiones informadas y puede verse expuesta al riesgo a pesar de todas las acciones de mitigación que implemente y a pesar de que el resultado del análisis de riesgos diga lo contrario.

Artículo anterior

Incomodidad

Artículo siguiente

EL VALOR DE LOS DATOS EN LA MOVILIDAD URBANA

Sin Comentarios

Responder

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *