El análisis de Riesgos en la norma ISO 27001 2017

La valorización de los Riesgos de la Seguridad de la Información, es la actividad clave en la implantación de la norma ISO 27001 2017 en nuestra organización. Este análisis es el que determinará: los Controles a aplicar, las Acciones y Tratamientos a realizar, los Objetivos a cumplir, etc. Y por tanto es crítico, para que el Sistema de Gestión de Seguridad de la Información sea realmente útil, y no una carga extra de trabajo para la organización.

Es muy importante que este proceso esté procedimentado y lo más sistematizado posible. Para conseguir que los resultados no varíen, si el mismo análisis lo realizan distintas personas. Además deberemos poder comparar los resultados de los diferentes análisis que hagamos a lo largo del tiempo, para poder determinar si las acciones realizadas están suponiendo una mejora real de la Seguridad de la Información de la organización.

El análisis de los Riesgos es la actividad que más tiempo nos llevará en la implantación del Sistema de Gestión, y a la que más atención hay que prestarle. Para realizarla correctamente, deberás seguir los siguientes pasos:

Paso 1: Establecer los criterios

El primer paso que marca la norma ISO 27001 es fijar los Criterios, que una vez identificados y analizados los Riesgos, determinen si cada uno de ellos es aceptado o no por la organización. En el caso de no ser aceptable, se deberán tomar acciones dentro del Plan de Tratamiento de Riesgos, que hagan que pase a serlo.

Normalmente para la aceptación o no de un riesgo, se fija a partir de un determinado Nivel de Riesgo. Este Nivel de Riesgo, será calculado para cada uno de los riesgos identificados según un algoritmo que relacione: la probabilidad de que suceda, las consecuencias en caso de materializarse, y el valor del activo sobre el que actúa.

NOTA: Que la norma ISO 27001 fije esta tarea como la primera de todas a realizar, tiene su razón ser. El motivo es evitar que la identificación y análisis de los riesgos que realizaremos a continuación, nos hagan perder objetividad, y de manera inconsciente suavicemos los valores límite incluidos en los Criterios para considerar un Riesgo como inaceptable.

Paso 2: Identificar los riesgos

La identificación de los riesgos para la seguridad de la información, no suele ser una tarea rápida y sencilla, ya que es muy importante no dejarse ninguno. Por lo que este trabajo se recomienda que lo realicen varias personas durante varias semanas, lo que evitará cometer errores importantes en la identificación de los riesgos.

La manera más sencilla de identificar los riesgos de manera sistemática, evitando olvidar los riesgos más importantes, es seguir los siguientes pasos:

1. Paso 1: Identificar los Activos: Los riesgos siempre van a ir asociados a la Información, y ésta siempre estará contenida o gestionada por algún Activo. Disponer de un inventario exhaustivo de los Activos de Información de la organización, será el primer paso a completar.
2. Paso 2: Listar las Amenazas: Cada empresa está sometida a un conjunto de Amenazas intrínsecas a su actividad y ubicación, como: incendios, inundaciones, virus informáticos, robos, sobornos, terremotos, errores humanos... son algunas de ellas. Este paso es más sencillo, ya que disponemos de listados generales que encontraremos en otras normas ISO o Internet. Eso sí, descarta de estas listas las que no apliquen a tu empresa.
3. Paso 3: Detectar las Vulnerabilidades: Ya hemos completado los dos pasos anteriores. Ahora toca cruzar cada Activo con cada Amenaza, para determinar si dicho Activo es vulnerable a dicha Amenaza. De esta combinación, nacerán los Riesgos de la seguridad de la información de nuestra organización.

Las vulnerabilidades de un Activo frente a una Amenaza, siempre van a ir asociadas a perdida de Confidencialidad de la información que contiene, la Integridad de la misma y su Disponibilidad a la hora de ser utilizada por las personas que la necesiten. Estos tres conceptos nos ayudarán también a identificar las vulnerabilidades de cada Activo, y por tanto sus Riesgos.

EJEMPLO: Identificamos como Activo que gestiona información: el Sistema Operativo Windows 10. Ya sabemos la Amenaza que suponen los Virus Informáticos para los sistemas operativos, y que Windows 10 es vulnerable a ser infectado por alguno de ellos. Por lo que acabamos de detectar el Riesgo de un virus informático infecte a nuestros equipos cuyo sistema operativo es Windows 10.

NOTA: Es requisito de la norma ISO 27001 2017, el que cada Riesgo identificado tenga un Propietario. Normalmente dicho responsable será el dueño o gestor del Activo sobre el que actúa el Riesgo, o la persona que puede aplicar medidas preventivas sobre el mismo. Por ejemplo, sobre los equipos informáticos no suele ser el usuario de cada equipo, sino el jefe de informática que gestiona su seguridad y su contenido.

Paso 3: Probabilidad e impacto

En este paso, analizaremos los riesgos identificados en el paso anterior. Para determinar como de importante es un Riesgo, utilizaremos al menos dos parámetros: la probabilidad y el impacto. La Probabilidad es aquella que el Riesgo tiene de materializarse. Mientras que el Impacto, son las consecuencias potenciales que tendría si este llega a suceder.

Con estos dos factores, y alguno más que podemos incluir, aplicaremos una fórmula de cálculo que nos diga el Nivel de Riesgo de cada uno de los riesgos identificados. El algoritmo de cálculo del Nivel de Riesgo deberá establecerse en el paso 1 junto a los criterios de aceptación de los riesgos.

EJEMPLO: Siguiendo con el ejemplo anterior, la probabilidad de que un virus informático afecte a nuestros equipos, dependerá de que Controles tenemos implementados: disponemos de antivirus actualizados, el personal está formado y concienciado en no abrir de terminados archivos de determinadas fuentes, los equipos tienen acceso muy limitado a internet... Y las consecuencias variarán según la criticidad de la información que tenga cada equipo informático: No es lo mismo, el equipo informático que contiene la aplicación de gestión del personal o contabilidad, a otro que sólo se utiliza para ver el correo. El impacto de que uno u otro deje de funcionar, es muy diferente.

RECOMENDACIÓN: Para tener un análisis más detallado, se puede diferenciar entre el Nivel de Riesgo Potencial y Actual. El primero es aquel que tenemos sin aplicar ningún control o salvaguarda, mientras que el segundo se calcula aplicando las medidas preventivas que ya tengamos implementadas sobre el Activo. Evidentemente el Nivel de Riesgo Actual siempre será igual o inferior al Potencial, y será el Actual el que determine si necesitamos aplicar nuevos controles sobre el Activo.

Paso 4: Evaluar los riesgos

Ya tenemos los Riesgos identificados, hemos analizado su probabilidad y posible impacto, y valorados según su Nivel de Riesgo. Es el momento de evaluarlos según los Criterios del primer paso. Para lo cual, compararemos cada Nivel de Riesgo con los valores límite que hayamos prefijado, clasificando cada riesgo es tolerable o intolerable.

Los Riesgos que se califiquen como inaceptables, deberán ser corregidos por medio de nuevos Controles en el Plan de Tratamiento de Riesgos. Aquellos que consideremos aceptables, se considerarán como riesgos residuales.

RECOMENDACIÓN: Es muy importante asegurarnos que un paso ha sido completado correctamente antes de pasar al siguiente, ya que un error en uno de ellos hará que el resto del análisis no sirva para nada, y tengamos que volver a empezar. Así que dedícale su tiempo, y no corras.

IMPORTANTE: Es requisito de la norma ISO 27001 2017, que se guarden evidencias de la valoración de los riesgos. Así que deberemos documentar: cómo y porqué se fijaron los criterios, cómo realizamos la identificación de los riesgos, y el análisis y evaluación de los mismos. Estas evidencias se incluirán como parte de la información documentada del Sistema de Gestión de la Seguridad de la Información, con lo que ello conlleva.