Las Amenazas en la norma ISO 27001 2017

Pese a que el término Amenaza ha desaparecido de la nueva versión de la norma ISO 27001 2017, quedando reducida sus referencias a un par de controles del Anexo A. Sí que es requisito la identificación de los Riesgos que afectan a la Seguridad de la Información, y que mejor manera de hacerlo que cruzando los Activos de la organización con las Amenazas a las que están expuestos.

Si aplicamos una metodología de evaluación de riesgos contrastada como puede ser MAGERIT, la identificación de las Amenazas es obligatoria. Y aunque no lo sea es muy recomendable hacerla, ya que ésta nos ayudará a identificar los Riesgos que afectan a nuestros Activos de Información. Por ejemplo, una Amenaza como el fuego, se asociará a todos aquellos Activos que puedan arder o verse afectados por él, los cuales sufrirán el Riesgo de incendio en distinta medida, dependiendo de los Controles que tengamos implementados sobre ellos, que reducirán la probabilidad y el impacto de dicho Riesgo.

Identificar las amenazas

Las Amenazas de cada organización dependerán mucho de su entorno, localización y actividad. Aun así, hay un conjunto de Amenazas comunes a todas ellas, entre las que destacamos las siguientes:

1. Fuego: La amenaza del fuego, puede ser tanto interna como externa. El fuego se puede generar por un accidente dentro de la organización, o por un incendio en los centros de trabajo contiguos al nuestro.
2. Robo y pérdida: El caso de los robos es muy similar. Pueden entrar ladrones del exterior a nuestras instalaciones, o ser los propios empleados quien roben activos de la empresa.
3. Agentes climáticos: Dependiendo la localización de nuestro centro de trabajo, las nevadas, riadas, inundaciones o tormentas eléctricas pueden ser más o menos probables.
4. Error de mantenimiento: Una mala limpieza y engrasado de las máquinas, o la no instalación de actualizaciones y parches en los equipos informáticos, representan una amenaza a este tipo de activos.
5. Error del usuario: El error humano siempre existirá, y puede suponer la eliminación accidental de información, o la realización de cambios incorrectos sobre la misma.
6. Fallo del software: Las distintas aplicaciones informáticas que tengamos en nuestra organización pueden fallar en un momento determinado, por causas propias o ataques externos. Todo software tiene vulnerabilidades que deberemos proteger.
7. Fallo de las comunicaciones: El corte de las líneas telefónicas, la falta de cobertura o una baja velocidad de Internet, pueden suponer riesgos importantes para nuestro negocio. Una tienda online o un "call center", pueden generarle grandes pérdidas este tipo de problemas.
8. Rotura o averías: Las roturas y averías en equipos e instalaciones por desgaste, accidentes o productos defectuosos, son muy comunes. Los mantenimientos preventivos, las inspecciones previas y las medidas de seguridad puede reducir el riesgo de que estas amenazas se materialicen.
9. Daños por agua: Un derrame, charco o inundación de agua puede tener su origen en una gotera, una tubería dañada, o un accidente. Dependiendo de nuestra actividad, y en contacto con nuestros productos, las pérdidas pueden ser cuantiosas.
10. Corte suministro eléctrico: Un corte de la electricidad de un segundo, puede suponer la caída de todo el sistema informático de nuestra organización. Lo que supondría tener que recuperar todos los servicios y aplicaciones a su estado correcto, y esto puede suponer varios días de afección.
11. Fallo de la climatización: En empresas donde la temperatura y humedad son críticas, los fallos en la climatización pueden suponer pérdidas cuantiosas. Un ejemplo claro, es un secadero de jamones.
12. Software dañino: La instalación de aplicaciones y servicios dañinos para nuestros sistemas de información, como pueden ser virus o troyanos, es una Amenaza a tener en cuenta en prácticamente todas las empresas.
13. Fugas de información: La interceptación de alguna comunicación privada por terceros, la publicación en internet de información sensible de la organización, o los conocimientos que un trabajador se lleva al irse con la competencia... son fugas de información con consecuencias difícilmente cuantificables.
14. Agotamiento de los recursos de los sistemas: Las instalaciones y los equipos tienen limitaciones físicas y técnicas. La información que gestionan suele mostrar un crecimiento en muchos casos exponencial, que puede llevarles al colapso.
15. Rotación personal: Con el paso del tiempo, determinados empleados pueden pasar a ser imprescindibles dados los conocimientos que sólo ellos poseen. En estos casos, un cambio de trabajo, una baja médica, unas largas vacaciones o ciertas necesidades personales, puede hacer que dicha información deje de estar disponible durante un periodo o para siempre.
16. Accesos no autorizados: Los errores de configuración, la suplantación de identidad, o el uso no previsto de una determinada información, pueden suponer una amenaza grave.
17. Extorsión y sobornos: La extorsión y el soborno que tanto clientes como proveedores pueden ejercer sobre nuestro personal, para conseguir contratos o mejorar los precios, pueden ser un problema. Mucho más en países con sistemas judiciales débiles, y escaso control legal.

NOTA: En la norma UNE 71504:2008, se incluye la definición de Amenaza como: "la causa potencial de un incidente que puede causar daños a un sistema de información o a una organización".

Valoración de la Amenazas

La misma Amenaza puede afectar de distinta manera a una organización u otra, por lo que su importancia variará en cada caso. Por ejemplo, la amenaza "Daños por agua" puede ser insignificante para una empresa de prefabricados de hormigón, pero puede suponer la ruina de una empresa de servilletas de papel.

En el momento que relacionamos una Amenaza con un Activo de la organización, comenzamos a hablar de Riesgo. Mientras que una Amenaza siempre será la misma para la organización, el Riesgo variará según el Activo al que afecte y las salvaguardas que lo protejan en cada caso.

Sobre las Amenazas no podremos actuar, dado que son agentes externos a la organización que existen en nuestro entorno, y su origen es la naturaleza o terceras partes. En cambio, sobre el riesgo sí podremos trabajar, ya que podremos reducir la probabilidad de que la Amenaza se materialice, y minimizar los efectos del impacto de la misma. Por ejemplo: sobre la existencia de virus informáticos en internet (Amenaza), poco podremos hacer. Pero reducir la probabilidad de que estos afecten a nuestros sistemas y que en el caso de hacerlo el impacto sea mínimo (Riesgo), sí que es posible.

En ocasiones se realiza una valoración general de las Amenazas, utilizando los mismos criterios que para un Riesgo. La diferencia es que no se hace en relación a ningún activo concreto, sino de manera genérica a la organización:

1. Probabilidad: Se analiza la probabilidad de que la Amenaza se materialice o suceda. Por ejemplo: la probabilidad de nevadas intensas, puede ser muy elevada en zonas de montaña, pero no en la playa.
2. Gravedad del impacto: Se valoran el impacto que supondría dicha Amenaza de manera general. Por ejemplo: el impacto de un incendio en una carpintería, será diferente al de una de perfiles de aluminio.

Por ejemplo: la amenaza de lluvia puede tener una alta probabilidad de ocurrencia en nuestra zona geográfica, pero el impacto de la lluvia en general es muy bajo. En cambio, si nuestra empresa fabrica cajas de cartón, la probabilidad de que la lluvia moje nuestras cajas es muy baja, pero su impacto sería muy elevado. Ya que disponemos de almacenes cubiertos, y una caja mojada pasa a ser inservible.

RECOMENDACIÓN: Pese a que hay muchas amenazas que no afectan a nuestro negocio debido su actividad, es recomendable tenerlas todas identificadas. Eso sí, indicando que no aplican en estos momentos a la organización. Ya que en un momento dado, la empresa puede abrir un nuevo centro de trabajo en otra región donde si apliquen, o lanzar una nueva línea de negocio que también le afecten, y el tenerlas ya identificadas nos ahorrará trabajo.