Ir al contenido principal

ISO/IEC 27001:2013 - Sistema de gestión de seguridad de la información

Esta norma internacional proporciona los requisitos para establecer, implementar, mantener y mejorar de manera continua un Sistema de Gestión de Seguridad de la Información (SGSI).
Es importante que el SGSI esté integrado a los procesos y a la estructura de gestión de la organización, su implementación puede ser escalada según las necesidades de la organización.

El propósito de un SGSI es garantizar que los riesgos de seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática y estructurada.
La ISO/IEC 27001:2013 está basado en el ciclo de mejora continua o Deming (Plan, Do, Check, Act) ver aqui.
Un SGSI se fundamenta principalmente en la identificación y análisis de las principales amenazas, para a partir de este punto de partida poder establecer una evaluación y planificación de los riesgos.

Identificación del riesgo

Se debe identificar los riesgos de cada uno de los procesos definidos en el alcance del SGSI.
La identificación del riesgo se realiza determinando las causas en base a los factores o asuntos internos y externos (punto 4.1 ISO/IEC 27001) analizados para la organización que afecten al cumplimiento de los objetivos del SGSI.
Es importante centrarse en los riesgos más significativos que afecten a los procesos u objetivos organizacionales.

Para identificar los riesgos es básico considerar lo siguiente:

  • ID riesgo: Código para identificar el riesgo.
  • Proceso: Nombre del proceso.
  • Subprocesos: Desglose del proceso principal.
  • Riesgo: Probabilidad de que un evento no deseado ocurra o se materialice.
  • Causas: Factores externos e internos que actúan con agentes generadores de riesgo.
  • Descripción: Características de cómo se manifiesta o materializa el riesgo.
  • Efectos: Las consecuencias de la ocurrencia del riesgo.

1. Identificación de activos de información

Toda organización posee activos y recursos que representan valor o utilidad los cuales son susceptibles de ser atacados de forma intencional o accidental con consecuencias para la organización, en un sistema de información hay dos cosas esenciales, la información que se maneja y los servicios que se prestan.
Hay activos que no contienen información, por ejemplo el aire acondicionado, pero es imprescindible para los servidores.
Dependencia de activos: Existen activos que dependen unos de otros por ejemplo, los activos esenciales dependen de los equipos, comunicaciones, instalaciones y personas, formándose una estructura en árbol donde la seguridad de los activos superiores dependen de los inferiores.
Por ejemplo, una aplicación funciona en un servidor, por tanto si el servidor cae la aplicación también.

2. Identificación de amenazas

Todos los activos de información están expuestos a amenazas y estas explotan las vulnerabilidades existentes.
Por ejemplo:
Vulnerabilidad: Poca concienciación y conocimiento sobre seguridad de la información.
Amenaza: Ingeniería social, correos con troyanos, malware, etc.

3. Calculo de nivel de riesgo


Se debe tener en cuenta dos factores:
Probabilidad de ocurrencia: Probabilidad de que una amenaza se materialice.
Impacto: Impacto en la organización resultante de la materialización de una amenaza.

Nota: Una situación de vulnerabilidad en la organización favorece a que las amenazas se materialicen.

El siguiente paso es determinar el nivel de riesgo aceptable.

Riesgo aceptable: Según la ISO/IEC 27001 la organización debe establecer un nivel de riesgo permitido. Para todos aquellos que están por encima del aceptable se determinan controles que permitan reducirlo al nivel aceptable.

Nota: Los controles son importantes, sin ellos los riesgos que están por encima del nivel aceptable supondrán un gran peligro para la organización.

4. Tratamiento de riesgo

Se deben tener en cuenta los siguientes aspectos básicos:   
  • Responsables del control de seguridad.
  • Recursos: Personas y/o materiales necesarios para la implantación de los controles de seguridad.
  • Acciones para llevar a cabo el control de seguridad.
  • Prioridad del riesgo

Después de implantar los controles de seguridad se determina el riesgo residual. Si el nivel de riesgo reducido por la implementación de controles de seguridad sigue estando por encima del nivel aceptable, la organización debe asumir ese riesgo formalmente.

Nota: La metodología que utilicemos para calcular el riesgo asociado a cada activo de información de la organización debe permitirnos establecer medidas para mitigar dicho riesgo informático.

Los dueños del riesgo

Las amenazas se asocian a un responsable, que es la persona que asegura que los controles se ejecuten de manera correcta de acuerdo a lo establecido en el Plan de Tratamiento de Riesgo.
El dueño del riesgo no es quien finalmente ejecuta los controles de seguridad sino quien se responsabiliza de que los controles se estén llevando o ejecutando de acuerdo a lo establecido. Es quien tiene la capacidad de tomar decisiones sobre los riesgos identificados en un activo de información, a diferencia del dueño del activo este último es quien opera el activo de información.

Formas de afrontar el riesgo:
  1. Eliminar el riesgo: Si el riesgo es muy crítico hasta el punto que puedan poner el riesgo la continuidad del negocio, la organización debe de ejecutar todos los controles necesarios para tratar de eliminarlo. Evaluar la posibilidad de eliminar o descontinuar la actividad que acarree un riesgo.
  2. Mitigarlo: Técnicamente es imposible eliminar el riesgo, en este caso la organización debe aceptar el riesgo, ser consciente de que la amenaza existe y debe monitorearlo con el fin de controlarlo. Se debe evaluar y seleccionar controles de seguridad del Anexo A u otras normas de seguridad.
  3. Trasladarlo: Transferirlo a un tercero, se relaciona con la contratación de algún tipo de seguro que compense las consecuencias económicas de una pérdida o deterioro de información.
  4. Aceptarlo: La organización sólo va a aceptar el riesgo cuando el costo de implementación de algún control de seguridad o su traslado a un tercero cueste más que el propio impacto de la materialización de la amenaza.
Nota: Debe existir un equilibrio entre el costo del control de seguridad y el nivel de importancia del activo de información.
Etiquetas:

Comentarios

Publicar un comentario

Entradas más populares de este blog

ISO/IEC 27001:2013 - Ciclo de mejora continua o Deming

La ISO/IEC 27001:2013 está basado en el ciclo de mejora continua o Deming (Plan, Do, Check, Act). Plan : Consiste en planificar acciones para hacer frente a los riesgos e identificar las oportunidades, para posteriormente evaluarlas y gestionarlas. Definir las políticas de seguridad de la información Establecer el alcance del SGSI Realizar el análisis de riesgo Seleccionar los controles de seguridad Definir competencias Establecer el mapa de riesgos Definir autoridades y responsabilidades Do : Indica que la organización debe de disponer los recursos necesarios para establecer, implementar y mantener el SGSI, además de dar a conocer las políticas de seguridad de la información del SGSI. Poner en marcha el Plan de gestión de riesgos establecido Se implanta el SGSI Se establecen los controles de seguridad Check – Controlar Revisar internamente el SGSI Realizar auditorias Se revisan los indicadores y métricas del SGSI Act Realizan las acciones cor
Publicar un comentario
Leer más

ISO/IEC 27001:2013 - Alcance del SGSI

Se debe determinar cómo se va a implementar el SGSI, establecer los límites, su aplicabilidad, los asuntos internos y externos que afecten los objetivos del mismo, los requerimientos de las partes interesadas y las interfaces y dependencias. Se debe elegir en qué áreas de la organización se desea implantar el SGSI, por lo general son aquellas que por sus funciones o responsabilidades ayudan a dar cumplimiento a la misión institucional. El propósito del alcance es definir qué información se va a proteger, no importa si esta información se almacena dentro de las oficinas de la organización, en la nube o si se accede a dicha información desde la red local o remotamente. El punto es que como responsables de la seguridad de la información debemos de protegerla sin importar dónde, cómo y por quién se accede a esta. Si tenemos información que queda fuera del alcance del SGSI no significa que no se le aplicarán medidas o controles de seguridad, implica que la responsabilidad de la
Publicar un comentario
Leer más

ISO/IEC 27003:2010: Guía para implementar un SGSI

Brinda una descripción de procesos de delimitación del Sistema de Gestión de Seguridad de la Información, diseño y ejecución de distintos planes de implementación. Ayuda a realizar el diseño para una buena implementación del SGSI que describe el estándar ISO/IEC 27001:2013.  Esta norma es una guía para todos aquellos que deseen implementar un SGSI o aquellos consultores en su trabajo profesional. Describe los procesos para conseguir la aprobación del SGSI: Documentación requerida por la ISO/IEC 27001: La obtenemos de las normas ISO/IEC 27001:2013, 27003:2010 y un EDT (estructura de desglose de trabajo). Mapa de procesos de negocio: Lo obtenemos a partir de un BPMN (Business Process Modeling Notation), que permite el modelado de procesos de negocio en un formato de flujo de trabajo. Podemos usar por ejemplo Bizagi, es un software gratuito que soporta BPMN 2.0. Identificación de activos de información relevantes. Metodología de gestión de riesgos. Mapa de riesgos. Lista de
Publicar un comentario
Leer más