Identificación de riesgos de seguridad
La importancia de documentar cada variable
Una de las etapas clave en el proceso de implantación y mantenimiento del sistema de gestión de seguridad de la información es la identificación de riesgos; la norma ISO 27001.2013, sistemas de gestión de seguridad de la información, establece que la organización debe determinar los riesgos y las oportunidades que es necesario tratar con el fin de: prevenir o reducir efectos no deseados y complementa la descripción de la actividad indicando que se debe aplicar un proceso de evaluación de riesgos de la seguridad de la información para identificar los riesgos asociados con la pérdida de confidencialidad, integridad y disponibilidad (Núm. 6.1.2 c).
Quizás, durante las actividades de descripción de riesgos es donde más errores se puede cometer porque se tiende a documentar el riesgo usando únicamente la descripción de las causas y se omiten otras variables que serán de mucha utilidad para las actividades de planificación de la respuesta al riesgo. Para mayor claridad tomemos el siguiente ejemplo:
Riesgo. Qué se incendie el centro de cómputo.
Si bien esta es una situación que con toda seguridad afectará a la organización, en esta identificación de riesgo solo se está resaltando el evento y no se puede observar explícitamente cuáles serán los impactos a nivel de confidencialidad, integridad o disponibilidad de la información almacenada en el centro de procesamiento de datos.
Hacer explicitas las causas y las consecuencias
Siguiendo las recomendaciones de la norma ISO 31000, gestión de riesgo, deberíamos identificar las fuentes del riesgo, las áreas de impacto, los eventos y sus consecuencias (Núm. 5.4.2)
Al descomponer el evento de riesgo en sus diferentes variables, podemos mejorar notablemente la identificación del riesgo y preparar las actividades de planificación de la respuesta. A continuación se presenta una propuesta metodológica para obtener descripciones de riesgo acordes con las recomendaciones de implantación del sistema de gestión de seguridad:
1) Formule las preguntas clave
¿Cuál es la fuente generadora del riesgo? El fuego. Si se desea ser más explícito se pueden indicar las causa o causas primarias del evento, por ejemplo: falla eléctrica, explosión de gases, actos malintencionados.
¿Qué evento generará la causa? Un incendio en el centro de computo
¿Cuáles serán los impactos en términos de confidencialidad, integridad y disponibilidad? La integridad y disponibilidad de la información almacenada en el centro de cómputo se perderá.
¿Cuáles serán las consecuencias del evento? Imposibilidad para prestar los servicios de procesamiento de datos, incapacidad para cumplir obligaciones del negocio (ventas online, consulta de información por parte del ciudadano). En general se debe tener en mente que las consecuencias del evento se deben describir como la afectación de un objetivo de negocio, un requisito del cliente, una obligación legal u otros compromisos que dependen de la información comprometida.
2) redacte el riesgo incluyendo las variables identificadas, partiendo de las consecuencias.
Riesgo: Imposibilidad de realizar ventas online o consultas de información por pérdida de integridad y disponibilidad de datos almacenados en el centro de cómputo debido a fuego causado por falla eléctrica, acto malintencionado o explosión por gases.
Como se puede observar la nueva descripción del riesgo describe los impactos sobre los objetivos de negocio, las causas y las consecuencias sobre las variables de la seguridad de la información.
Este tipo de descripciones brindan orientaciones más precisas sobre las causas del evento, las cuales se pueden estudiar detalladamente con diagramas de espina de pescado o mediante técnicas de análisis de amenazas y vulnerabilidades como lo propone la norma ISO27005, Gestión de riesgos de seguridad de la información.
Una vez se han identificado los riesgos, se puede continuar con la estimación de impacto y probabilidad de ocurrencia, tema que se discute en otros artículos.
Tecnologías de información y Comunicaciones de Colombia, adelanta procesos de diseño e implantación de sistemas de gestión de seguridad, aplicando metodologías efectivas de identificación del riesgo basadas en bases de conocimiento y experiencia de sus consultores. Consulte a nuestros consultores sobre nuestros servicios de consultoría.
