Bienvenidos a esta Guía de Planificación en ISO 27001. Comparte este articulo y síguenos para recibir más guías y cursos.
Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?
6.1 Acciones para tratar riesgos y oportunidades
Acciones para tratar riesgos y oportunidades en la seguridad de la información
La gestión de la seguridad de la información ha evolucionado con el tiempo, y con ello, los enfoques para abordar los riesgos y oportunidades. En versiones anteriores de la norma ISO 27001, el concepto de «acción preventiva» era la base para anticiparse a posibles problemas de seguridad. Sin embargo, en la actualidad, las amenazas han aumentado en complejidad, lo que exige una perspectiva más amplia y estratégica.
Ahora, las acciones para tratar riesgos y oportunidades no solo buscan minimizar amenazas, sino también identificar oportunidades para fortalecer la seguridad. Esto implica realizar un análisis sistemático que permita abordar no solo los peligros, sino también las ventajas que pueden derivarse de la implementación de medidas de seguridad más efectivas.
La identificación de estos factores debe realizarse considerando el contexto de la organización, en sintonía con las expectativas de las partes interesadas y la necesidad de garantizar la continuidad operativa. Como parte del SGSI, estas evaluaciones deben estar alineadas con la prevención, mitigación y mejora continua del sistema de seguridad de la información.
Evaluación de riesgos en la seguridad de la información
El punto de partida para cualquier acción sobre riesgos y oportunidades es la evaluación de riesgos. Este proceso no debe tratarse como un ejercicio aislado, sino como un elemento central del SGSI. Para ello, es fundamental que la organización defina:
- La identificación de los riesgos de seguridad de la información: Se deben analizar amenazas potenciales y sus posibles efectos sobre los activos de información.
- Los criterios de aceptación de riesgos: Determinar qué niveles de riesgo son tolerables y cuáles requieren intervención inmediata.
- Los criterios para evaluar los riesgos: Asegurar que los resultados sean consistentes, válidos y medibles.
- La documentación del proceso: Mantener registros claros sobre la metodología utilizada y los resultados obtenidos para su análisis y mejora continua.
¿Cómo se evalúa el riesgo?
La evaluación de riesgos no es simplemente una cuestión técnica, sino un proceso estratégico que busca proteger la misión y los activos de la organización. Esto significa que el análisis de riesgos debe estar alineado con la visión empresarial y no limitarse a aspectos puramente tecnológicos.
El rol del propietario del activo es clave en este proceso, ya que debe comprender el valor de la información y definir las protecciones necesarias para garantizar su seguridad. La administración de riesgos requiere un enfoque basado en prioridades, ya que ningún sistema puede eliminar completamente todos los riesgos.
El riesgo nunca se reduce a cero
Es importante aceptar que la seguridad absoluta no existe. Ninguna organización dispone de recursos ilimitados, por lo que es fundamental priorizar los esfuerzos en función de la magnitud y el impacto de cada riesgo.
Para evaluar el riesgo, se deben identificar amenazas y vulnerabilidades, analizar su probabilidad y determinar el impacto que tendrían sobre la organización. Aunque en teoría parece un proceso sencillo, en la práctica resulta complejo, ya que la información con la que se trabaja suele ser incompleta o incierta.
La clave está en mantener un enfoque dinámico y en constante revisión, adaptando las estrategias de seguridad conforme evolucionan las amenazas y las necesidades del negocio. Con una evaluación de riesgos bien estructurada, la organización puede optimizar la asignación de recursos y mejorar su postura de seguridad de manera efectiva.
Proceso de evaluación de riesgos en la seguridad de la información
El proceso de evaluación de riesgos es un componente esencial en la gestión de la seguridad de la información, ya que permite a las organizaciones identificar, analizar y evaluar de manera sistemática los riesgos asociados a sus sistemas y servicios de información. A través de este análisis, se pueden definir los controles necesarios para gestionar estos riesgos de manera eficiente, asegurando la protección de la confidencialidad, integridad y disponibilidad de los datos.
Este proceso comienza con la evaluación del contexto organizacional, lo que garantiza que los riesgos sean identificados en función de las necesidades y expectativas reales de las partes interesadas. El resultado de esta evaluación no solo proporciona información valiosa sobre las amenazas y vulnerabilidades de los sistemas, sino que también ayuda a comprender cómo estos riesgos afectan el entorno comercial de la organización.
Identificación de activos y riesgos
Uno de los primeros pasos en el proceso de evaluación de riesgos es la identificación de los activos de información y los posibles riesgos que los amenazan. Para ello, es fundamental considerar varios factores, tales como:
- Clasificación de la información: La información almacenada, procesada o transmitida debe ser clasificada según el nivel de seguridad que requiere, asegurando que se implementen medidas de protección adecuadas.
- Procesos empresariales respaldados: Es importante identificar los procesos clave que dependen del sistema de información, incluyendo aquellos procesos secundarios o de apoyo que podrían verse afectados por incidentes de seguridad.
- Usuarios del sistema: Se deben analizar los diferentes tipos de usuarios que interactúan con el sistema, el nivel de privilegios que requieren y los riesgos asociados a su acceso. Esto incluye empleados, proveedores y posibles usuarios externos.
- Requisitos de seguridad: Se deben considerar los requisitos de confidencialidad, integridad, disponibilidad y privacidad, así como el cumplimiento de normativas y regulaciones aplicables.
- Prioridades de protección: Se deben definir las prioridades del negocio respecto a la protección de la información, asegurando que los controles de seguridad estén alineados con los objetivos organizacionales.
Creación de un perfil de seguridad
Para facilitar la gestión del riesgo, resulta útil desarrollar un perfil de seguridad del sistema de información. Este perfil permite identificar atributos clave en relación con la seguridad, tales como:
- Arquitectura del sistema: Identificar las áreas de seguridad donde se ubican los componentes del sistema, las interfaces y los flujos de información.
- Componentes del sistema: Identificar los elementos de hardware y software que componen el sistema de información, incluyendo servidores, routers, firewalls, sistemas operativos, aplicaciones y bases de datos.
Este perfil no solo ayuda a entender la estructura del sistema, sino que también permite visualizar mejor las posibles amenazas y vulnerabilidades dentro del entorno tecnológico de la organización.
Identificación de riesgos
La identificación de riesgos es una fase crucial dentro del proceso de evaluación, ya que permite determinar qué amenazas pueden comprometer la seguridad de la información. En este punto, es fundamental considerar:
- Amenazas potenciales: Se deben identificar todos los eventos que podrían explotar vulnerabilidades en el sistema y comprometer la confidencialidad, integridad o disponibilidad de los datos.
- Vulnerabilidades existentes: Deben analizarse las debilidades en los sistemas y procesos que podrían ser aprovechadas por atacantes o errores internos.
- Impacto en los objetivos comerciales: Se deben evaluar las posibles consecuencias de un incidente de seguridad en la operatividad del negocio.
Para gestionar adecuadamente los riesgos, es fundamental definirlos de manera clara y precisa. Una descripción vaga, como «El phishing puede ocurrir», es difícil de evaluar y mitigar. En cambio, una descripción más estructurada, como:
«Un empleado no respeta las políticas de uso del correo electrónico (Amenaza), lo que resulta en un ataque de phishing con pérdidas financieras y daños a la reputación, ya que los procesos de detección de malas prácticas en el uso del email no son sólidos (Vulnerabilidad)»
permite una mejor evaluación y facilita la implementación de medidas de control adecuadas.
Evaluación de riesgos: probabilidad e impacto
La evaluación de riesgos implica no solo identificar amenazas y vulnerabilidades, sino también determinar la probabilidad de que ocurran y el impacto que tendrían en la organización. Este proceso, aunque puede parecer sencillo en teoría, es una tarea compleja debido a la incertidumbre y la cantidad de factores a considerar.
Por ello, una estrategia efectiva de evaluación de riesgos debe combinar el análisis técnico con una visión de gestión, priorizando recursos y esfuerzos en función de la magnitud de cada amenaza y su impacto potencial en la organización. Con una evaluación bien estructurada, la empresa podrá optimizar la asignación de recursos, reducir la exposición a riesgos y fortalecer su postura de seguridad de manera continua.
Factores de Riesgo en la Seguridad de la Información
Una vez identificado el riesgo, es esencial analizar los factores que pueden influir en su materialización. Los factores de riesgo actúan como catalizadores que pueden aumentar la exposición de un sistema o activo a amenazas específicas. Identificarlos adecuadamente facilita la selección de controles adecuados para mitigar su impacto.
Por ejemplo, el acceso a Internet es un factor de riesgo en sí mismo, ya que expone los sistemas de información a redes públicas y posibles ataques. Otros factores de riesgo comunes incluyen:
- Conexión de redes o sistemas informáticos a Internet, lo que aumenta la superficie de ataque.
- Sistemas con alta exposición a ataques de hackers debido a su configuración o criticidad.
- Equipos o software con dificultades para recibir actualizaciones de seguridad.
- Gestión deficiente de credenciales, incluyendo contraseñas difíciles de cambiar o de administrar.
Estos factores no solo aumentan la probabilidad de que ocurra un incidente de seguridad, sino que también pueden influir en la gravedad del impacto en caso de materializarse una amenaza.
Efecto del Riesgo
Además de identificar los factores que incrementan la probabilidad de un riesgo, es fundamental evaluar sus consecuencias. Para hacerlo de manera efectiva, es recomendable expresar los efectos del riesgo en términos comerciales y no únicamente técnicos. Algunos ejemplos de impacto incluyen:
- Pérdida de reputación: Un incidente de seguridad puede dañar la imagen de la empresa y afectar la confianza de clientes y socios.
- Divulgación de información confidencial: La filtración de datos sensibles puede tener consecuencias legales y comerciales.
- Incumplimiento de normativas: Una brecha de seguridad puede derivar en sanciones por violar regulaciones como el RGPD.
- Pérdida de productividad: Un ataque puede afectar la operatividad de la empresa, generando interrupciones en el servicio.
- Falta de confianza en los servicios: Si los clientes perciben que la empresa no protege adecuadamente la información, pueden optar por otras alternativas.
Análisis y Evaluación del Riesgo
Una vez que se han identificado los riesgos, se procede a su análisis mediante la evaluación de dos factores clave:
- Probabilidad de ocurrencia: Se debe evaluar la frecuencia con la que un riesgo podría materializarse.
- Nivel de impacto: Se mide el daño potencial que el riesgo podría causar en los activos de información y en la empresa.
Para facilitar este proceso, se utiliza una matriz de riesgo, donde los riesgos son clasificados en función de su probabilidad e impacto, permitiendo priorizar aquellos que requieren una acción inmediata.
Identificación y Evaluación de Controles
Los controles de seguridad permiten reducir el nivel de riesgo al disminuir su probabilidad de ocurrencia, su impacto o ambos. La aplicación de controles efectivos determina el nivel de riesgo residual, es decir, el riesgo que persiste después de implementar medidas de mitigación.
Los controles de seguridad pueden clasificarse en varias categorías:
- Controles disuasorios: Buscan desalentar a un posible atacante antes de que intente vulnerar el sistema.
- Controles preventivos: Reducen la probabilidad de que ocurra un incidente de seguridad.
- Controles de detección: Permiten identificar cuándo y cómo ocurrió un incidente.
- Controles correctivos: Diseñados para mitigar el daño y restaurar el sistema tras un incidente.
Evaluación de Riesgos Residuales
Tras aplicar los controles, se debe evaluar el riesgo residual y determinar si se encuentra dentro de los niveles de tolerancia definidos por la organización. Este análisis permite tomar decisiones sobre qué riesgos requieren tratamiento adicional y cuáles pueden ser aceptados.
El objetivo de la evaluación de riesgos es proporcionar información clave a la gerencia para que pueda priorizar las medidas de seguridad más efectivas y asignar los recursos de manera estratégica.
Tratamiento de los Riesgos
El tratamiento del riesgo se basa en la selección de controles adecuados para mitigar las amenazas identificadas. En el contexto de la norma ISO 27001, los controles recomendados se encuentran en el Anexo A, aunque la organización puede implementar controles adicionales si es necesario.
El proceso de tratamiento de riesgos genera dos resultados fundamentales:
- Declaración de Aplicabilidad (SoA, Statement of Applicability): Documento donde se especifican los controles aplicables y su justificación con base en los riesgos identificados.
- Plan de Tratamiento de Riesgos: Documento que define las acciones específicas para reducir los riesgos y su aprobación por parte de los propietarios de los activos de información.
Este plan debe mantenerse actualizado y documentado, asegurando que todas las medidas implementadas sean revisadas y mejoradas de manera continua.
En conclusión, la gestión de riesgos en seguridad de la información no solo implica identificar amenazas, sino también comprender su impacto y establecer estrategias efectivas para mitigarlas. La aplicación de controles adecuados y la evaluación constante de riesgos garantizan que la organización pueda operar en un entorno seguro y resiliente frente a las amenazas en evolución.
6.1.1 Consideraciones Generales
Al planificar el sistema de gestión de seguridad de la información, la organización debe considerar las cuestiones referidas en el subcapítulo 4.1 y los requisitos referidos en el subcapítulo 4.2 y determinar los riesgos y oportunidades que necesitan ser abordados para:
- Asegurar que el sistema de gestión de la seguridad de la información pueda conseguir sus resultados previstos.
- Prevenir o reducir efectos no deseados.
- Lograr la mejora continua.
La organización debe planificar:
- Las acciones que aborden estos riesgos y oportunidad
- La forma de:
- Integrar e implementar las acciones en los procesos del sistema de gestión de la seguridad de la información.
- Evaluar la eficacia de estas acciones.
6.1.2 Evaluación del riesgo de seguridad de la información
La organización debe definir y aplicar un proceso de evaluación de riesgos de seguridad de la información que:
- Establezca y mantenga criterios sobre riesgos de seguridad de la información incluyendo:
- Los criterios de aceptación de los riesgos
- Los criterios para llevar a cabo las evaluaciones de los riesgos de seguridad de la información.
- Asegure que las sucesivas evaluaciones de los riesgos de seguridad de la información generan resultados consistentes, válidos y comparables.
- Identifique los riesgos de seguridad de la información:
- Llevando a cabo el proceso de evaluación de riesgos de seguridad de la información para identificar los riesgos asociados a la pérdida de confidencialidad, integridad y disponibilidad de la información en el alcance del sistema de gestión de la seguridad de la información
- Identificando a los propietarios de los riesgos
- Analice los riesgos de seguridad de la información:
- Evaluando las consecuencias potenciales que resultarían si los riesgos identificados en 6.1.2 c) 1) fueran a materializarse.
- Evaluando la probabilidad realista de la ocurrencia de los riesgos identificados en 6.1.2 c) 1)
- Determinando los niveles de riesgo
- Valore los riesgos de seguridad de la información:
- Comparando los resultados del análisis de riesgo con los criterios de riesgo establecidos en 6.1.2 a)
- Priorizando los riesgos analizados para el tratamiento de riesgos.
La organización debe conservar información documentada sobre el proceso de evaluación de riesgos de seguridad de la información.
Propietario del riesgo: Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo.
Riesgo: Efecto de la incertidumbre en los objetivos.
Un efecto es una desviación de lo esperado; puede ser positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas.
Positivo: Ganancia Potencial / Negativo: Suceso perjudicial.
Los objetivos pueden tener diferentes aspectos y categorías, y pueden aplicarse a diferentes niveles.
El riesgo se expresa generalmente en términos de fuentes de riesgo, eventos potenciales, sus consecuencias y su probabilidad.
Amenaza: Causa potencial de un incidente no deseado, el cual puede ocasionar daño a un sistema o a una organización.
Vulnerabilidad: Debilidad de un activo o control que puede ser aprovechado por una o más amenazas
Control: medida que modifica el riesgo.
Nivel de riesgo: Magnitud de un riesgo expresada en términos de la combinación de las consecuencias y de su probabilidad.
Los riesgos de seguridad de la información son los asociados a la pérdida de la confidencialidad, integridad y disponibilidad para la información.
6.1.3 Tratamiento de los Riesgos de Seguridad de la Información
La organización debe definir y efectuar un proceso de tratamiento de los riesgos de seguridad de la información para:
a) Seleccionar las opciones adecuadas de tratamiento de riesgos de seguridad de la información teniendo en cuenta los resultados de la apreciación de riesgos
b) Determinar todos los controles que sean necesarios para implementar la(s) opción(es) elegida(s) de tratamiento de riesgos de seguridad de la información
NOTA 1: Las organizaciones pueden diseñar controles según sea necesario, o identificarlos a partir de cualquier fuente.
c) Comparar los controles determinados en el punto 6.1.3 b) con los del anexo A y comprobar que no se han omitido controles necesarios
NOTA 2: El anexo A contiene una lista de posibles controles de seguridad de la información. Se indica a los usuarios de esta norma internacional que se dirijan al anexo A para asegurar que no se pasan por alto controles necesarios.
NOTA 3: Los controles de seguridad de la información del Anexo A, no son exhaustivos, por lo que pueden ser necesarios objetivos de control y controles adicionales.
d) Producir una “Declaración de Aplicabilidad” que contenga:
- Los controles necesarios [véase 6.1.3 b) y c)]
- La justificación de las inclusiones
- Si los controles necesarios están implementados o no
- La justificación de las exclusiones de cualquiera de los controles del anexo A
e) Formular un plan de tratamiento de riesgos de seguridad de la información
f) Obtener la aprobación del plan de tratamiento de riesgos de seguridad de la información y la aceptación de los riesgos residuales de seguridad de la información por parte de los propietarios de los riesgos.
La organización debe conservar información documentada sobre el proceso de tratamiento de riesgos de seguridad de la información.
NOTA: La apreciación de los riesgos de seguridad de la información y el proceso de tratamiento recogido en esta norma internacional se alinean con los principios y directrices genéricas definidos en la Norma ISO 31000.
Declaración de Aplicabilidad (Statement of Applicability –SoA)
| Control | Nombre del control | Descripción del control | Aplicable | Justifiación aplicablilidad /exclusión |
| 5.1 | Políticas de seguridad de la información | La política de seguridad de la información y las políticas específicas deben ser definidas, aprobadas por la gerencia, publicadas, comunicadas a y reconocido por el personal pertinente y las partes interesadas pertinentes, y revisado a intervalos planificados y si se producen cambios significativos. | SI | Información documentada requerida |
| 7.10 | Medios de almacenamiento | Los medios de almacenamiento se gestionarán a lo largo de su ciclo de vida de adquisición, uso, transporte y eliminación de acuerdo con las normas de la organización. esquema de clasificación y requisitos de manipulación. | NO | No se manejan medios de almacenamiento |
Estrategias:
- Mitigar: Implemento controles para reducir el nivel de riesgo
- Asumir: Se asume o retiene el riesgo en su nivel actual
- Transferir: Comparto el riesgo con partes externas (compra de un seguro o tercerización de servicios)
- Evitar: Cancelo la actividad que genera el riesgo
Estructura de la Norma ISO 31000 Gestión de Riesgos – Directrices
- Este documento proporciona directrices para gestionar el riesgo al que se enfrentan las organizaciones. La aplicación de estas directrices puede adaptarse a cualquier organización y a su contexto
- Este documento proporciona un enfoque común para gestionar cualquier tipo de riesgo y no es específico de una industria o un sector
- Este documento puede utilizarse a lo largo de la vida de la organización y puede aplicarse a cualquier actividad, incluyendo la toma de decisiones a todos los niveles
6.2 Objetivos de seguridad de la información y planes para alcanzarlos
Objetivos de Seguridad de la Información y Planes para Alcanzarlos
Un plan de tratamiento de riesgos no solo debe enfocarse en mitigar amenazas, sino que también debe establecer una serie de objetivos medibles que permitan evaluar la eficacia de las medidas implementadas. Estos objetivos deben estar alineados con la política del SGSI y reflejar el compromiso de la organización con la seguridad de la información.
Comunicación de los Objetivos
Establecer objetivos de seguridad no es suficiente si no se comunican adecuadamente. La comunicación debe dirigirse a los niveles apropiados dentro de la organización, asegurando que todos los responsables y partes interesadas comprendan su papel en la implementación de medidas de seguridad.
Los objetivos deben estar basados en los resultados de la evaluación y tratamiento de riesgos, garantizando que reflejen con precisión el nivel de protección necesario para los activos de información. En última instancia, el grado en el que estos bobjetivos se cumplen determinará la eficacia del SGSI.
Ejemplo de un objetivo del SGSI para el Servicio de Seguridad Gestionada por un Security Operation Center (SOC).
Definición de Objetivos en Seguridad de la Información
Los objetivos de seguridad de la información responden a la pregunta «¿Qué se debe hacer para tratar los riesgos identificados?». Para que sean efectivos, deben cumplir con ciertos criterios clave:
- Deben especificar los recursos necesarios para su implementación.
- Deben asignar responsabilidades claras, indicando quién se encargará de su cumplimiento.
- Deben ser medibles, definiendo métricas o indicadores que permitan evaluar su nivel de éxito.
- Deben documentarse correctamente, estableciendo el alcance, las estrategias y los procedimientos para alcanzarlos.
Seguimiento y Evaluación
Una vez definidos los objetivos, es fundamental establecer un mecanismo de seguimiento y medición. Esto implica la revisión periódica de los avances, la identificación de posibles desviaciones y la actualización de los objetivos cuando las circunstancias lo requieran.
El monitoreo continuo permite detectar oportunidades de mejora y asegurar que las estrategias de seguridad de la información evolucionen junto con las amenazas y necesidades del negocio.
En resumen, la fijación de objetivos claros y su correcta comunicación, seguimiento y ajuste son elementos esenciales para garantizar que la seguridad de la información no solo sea un principio teórico, sino una realidad operativa en la organización.
No te detengas, sigue avanzando
Aprende con nuestros más de 100 cursos que tenemos disponibles para vos
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?
Sobre la autora
Romina Orlando
Con más de 20 años de experiencia en liderazgo, gestión financiera y empresarial. Brindo Educación y Consultoría a profesionales, bancos y empresas. Puedes seguirme en mis redes:
Compartimos estos recursos para ayudar a la comunidad. COMPARTE y Siéntete libre de agregar más sugerencias en los comentarios a continuación, respondemos todos y cada uno de los comentarios.