Veamos de forma práctica como asociar y documentar los Riesgos, Amenazas y Vulnerabilidades para la seguridad de la información según ISO 27001.
Dentro del proceso de evaluación de riesgos tenemos la misión de encontrar tanto los riesgos como las amenazas y vulnerabilidades de los activos de información para poder llevar a cabo esta tarea crucial dentro de un SGSI. Sin embargo, esta tarea en la práctica afronta algunas dificultades pues hay un manual que nos diga exactamente cómo hacerlo pues cada empresa tiene que valorar sus circunstancias particulares para no realizar una tarea que finalmente sea poco practica o difícil de implementar
El primer reto al que nos enfrentamos es poner en un documento los activos y riesgos identificados
DOCUMENTANTO LA IDENTIFICACION DE RIESGOS
Establezca criterios:
En primer lugar debemos tener claro el concepto de riesgos pues con esto claro nos evitaremos escribir de más.
Un riesgo es un factor que depende de otros dos: La vulnerabilidad y las amenazas potenciales.
La vulnerabilidad es algo propio de un sistema o activo de información y nos dice que tan débil o falible es el sistema o aplicación que estamos valorando. Además a la hora de valorar el grado de vulnerabilidad debemos considerar la importancia de la información que está sujeta a la vulnerabilidad.
Por otro lado las amenazas son aquellas cosa que pueden aprovechar la vulnerabilidad de un activo de información para causar un daño.
Por ejemplo, si tenemos una gran vulnerabilidad en un sistema por falta de sistemas de protección contra ataques de piratas informáticos y dicho sistema tiene una información sensible o importante, entonces el riesgo asociado será muy alto. Sin embargo si dicho sistema tiene un sistema de protección perimetral que supone una buena defensa contra ataques de piratas informáticos aunque la información sea crítica su riesgo puede ser medio o bajo.
Finalmente hemos de buscar aquellas cosas que pueden causarnos un perjuicio a nuestra actividad para poder valorar como las amenazas y vulnerabilidades de nuestros sistemas aquellos riesgos que realmente pueden afectar al negocio.
Como ejemplo podríamos considerar:
El robo de información comércial
en la medida que pueda hacernos perder cuota de negocio frente a sus competidores. El robo de información de los clientes podría resultar en la pérdida de confianza y el desgaste del cliente.
Tiempo de inactividad de un sistema o aplicación.
Si un sistema no cumple su función principal, es posible que los clientes no puedan realizar pedidos, que los empleados no puedan realizar su trabajo o comunicarse, y así sucesivamente.
Consecuencias legales.
Si alguien roba datos de una de sus bases de datos, incluso si esos datos no son particularmente valiosos, puede incurrir en multas y otros costos legales porque no cumplió con los requisitos de seguridad de protección de datos en las transacciones electrónicas o en otros escenarios.
Identifique activos:
Para identificar activos de información es bueno considerar todo aquello que este en contacto con el cliente, la documentación propia de la empresa y los socios, procesos internos y Kwow how, secretos comerciales, proveedores estratégicos etc. Tenga en cuenta no solamente criterios técnicos sino de todos lo importante para los gestores del negocio para no pasar nada por alto.
En general en la documentación de un listado de activos podríamos tener en cuenta la siguiente información:
- Software
- Hardware
- Datos
- Interfaces
- Usuarios
- Personal de apoyo
- Misión o propósito
- Criticidad
- Requerimientos funcionales
- Políticas de seguridad informática
- Arquitectura de seguridad informática
- Topología de la red
- Protección de almacenamiento de información
- Flujo de información
- Controles técnicos de seguridad.
- Entorno de seguridad física
- Seguridad ambiental
Algunos consejos prácticos
Seguramente que nuestros recursos para la seguridad de la información son limitados por lo que es muy importante priorizar los activos de información y limitarse a aquellos que son críticos para la organización.
También es importante centrarse en las amenazas y vulnerabilidades más importantes pues si por cada activo identificamos 10 amenazas, cada una con 3 vulnerabilidades para una lista de 50 activos podríamos llegar a evaluar más de 2000 riesgos lo cual resultaría poco manejable en una pequeña o mediana empresa.
Identifique Amenazas y vulnerabilidades:
Es hora de relacionar los activos con las posibles amenazas y vulnerabilidades.
Veamos algunos ejemplos:
DOCUMENTOS EN PAPEL
- Amenaza: Fuego
Esta amenaza debe tener unas más vulnerabilidades asociadas para materializarse:
Veamos
Vulnerabilidad 1: documentos no están en un lugar a prueba de incendios. Por tanto en caso de materializarse la amenaza tendremos un RIESGO debido a la posible pérdida de disponibilidad de la información.
Vulnerabilidad 2: No existen copias de seguridad de los documentos por lo que en caso de incendio peligra la disponibilidad del activo - Amenaza: Acceso no autorizado
Vulnerabilidad: El documento se almacena en un lugar sin ningún tipo de protección por lo que hay RIESGO para la confidencialidad de la información.
ARCHIVOS DIGITALES
- Amenaza: Fallo de hardware
Vulnerabilidad: la falta de copia de seguridad de los archivos puede causar un RIESGO de disponibilidad del activo - Amenaza: Ataque de malware
Vulnerabilidad: Los sistemas antivirus no se controlan o no se actualizan correctamente causando un RIESGO de confidencialidad, integridad y disponibilidad del archivo - Amenaza: Acceso no autorizado
Vulnerabilidad: no está previsto un acceso controlado a la red o al recurso que comparte los archivos causando un RIESGO de confidencialidad, integridad y disponibilidad del archivo - Amenaza: Acceso indebido
Vulnerabilidad: Los permisos de acceso al archivo son compartidos por personal externo que realiza trabajos de mantenimiento en los sistemas causando un RIESGO de confidencialidad, integridad y disponibilidad del archivo
De esta forma hemos de ir relacionando riesgos, amenazas y vulnerabilidades de los activos de información
