La gestión de riesgos en los Sistemas de Gestión de Seguridad de la Información
¿Qué es seguridad de la información?
La Seguridad de la Información se puede definir como la protección de la información contra la divulgación, transferencia, modificación o destrucción no autorizadas sea de forma voluntaria o accidental. Es por esto que la seguridad de la información es un punto crucial para cada organización.
A continuación, les mostraremos la metodología para la gestión de riesgos en los Sistemas de Gestión de Seguridad de la Información según la ISO/IEC 27005 Gestión de Riesgos de la Seguridad de la Información.
Fases del proceso de gestión de riesgos de seguridad de la información:
Establecimiento de contexto: en esta fase debemos conocer las amenazas más comunes para la seguridad de la información.
Evaluación del riesgo: esta fase contiene el análisis del riesgo y la evaluación del riesgo. A su vez, el análisis del riesgo se divide en identificación y estimación del riesgo. Una vez hecho el análisis de las amenazas de nuestro sector y conocemos las características de nuestros controles, y amenazas ya tenemos identificado el riesgo y posteriormente se debe hacer una estimación de este teniendo en cuenta el valor de la información en cuanto a confidencialidad, integridad y disponibilidad. Finalmente se hace una evaluación del riesgo combinando el valor del activo con amenaza y vulnerabilidad.
Tratamiento del riesgo: una vez realizada la evaluación se decide si se van a tomar medidas para tratar el riesgo con el objetivo de minimizarlo o no, todo depende del resultado de evaluación y la política de seguridad de la información de la organización. Esta fase depende de la organización, ya que hay organizaciones que tienen cero tolerancias ante el riesgo, por lo que se tratarán todos los riesgos que se encuentren. A su vez, esta fase se subdivide en:
Aceptar:es una forma de tratamiento en la cual se conoce que existe un riesgo, pero debido al bajo nivel de recursos de una organización y bajo nivel de amenaza no se trata. No quiere decir que se olvide, debe seguir controlándolo para tratarlo una vez se pueda abordar.
Transferir:existe conocimiento del riesgo, pero por distintas razones, la organización subcontrata a otras para ayudar a eliminarlo.
Mitigar:en este caso, la ISO 27001 CUENTA CON 114 controles para mitigar los riesgos, por lo que se podría elegir el más apropiado para combatirlo.
Fuente: ISO Tools.