Desmitificando la evaluación de riesgos: comenzando con los controles para ISO 27001
Tabla de contenido:
- 1) Evaluación de riesgos en seguridad de la información
- 2) Evaluación de riesgos efectiva en ISO 27001
- 3) Abordar el riesgo con controles ISO 27001
- 4) La importancia del seguimiento continuo de los riesgos
- 5) Simplificando la gestión de riesgos con ISMS.online
- 6) Administre proactivamente su riesgo de seguridad de la información
Evaluación de riesgos en seguridad de la información
La gestión de riesgos desempeña un papel vital en la postura de seguridad de la información de cualquier organización. Un enfoque proactivo para identificar, evaluar y determinar el tratamiento de riesgos potenciales le permite mitigar los riesgos de manera más efectiva, gestionar mejor los resultados y reducir el impacto de los incidentes de seguridad de la información en su negocio en caso de que ocurran.
Las buenas prácticas de evaluación y gestión de riesgos son obligatorias para cualquiera que desee cumplir con la norma ISO 27001. El estándar requiere que su organización establezca y mantenga procesos de evaluación de riesgos de seguridad de la información, incluidos criterios de evaluación y aceptación de riesgos para medir la probabilidad y el impacto de los riesgos.
La gestión de riesgos en ISO 27001 se alinea directamente con los controles de seguridad de la información del estándar, que se pueden implementar para tratar los riesgos identificados.
Evaluación de riesgos efectiva en ISO 27001
Como parte del cumplimiento de la norma ISO 27001, su organización debe desarrollar un proceso de evaluación y tratamiento de riesgos. Las evaluaciones de riesgos deben realizarse periódicamente para garantizar que se identifiquen y aborden nuevos riesgos de manera consistente, y los riesgos deben asignarse a los propietarios de los riesgos durante su vida útil.
Hay varios términos clave que se utilizan para clasificar y comprender el riesgo:
- Riesgo: el potencial de destrucción, daño o pérdida de datos o activos
- Amenaza: una persona o acción que aumenta las posibilidades de que se produzca un incidente, como un actor de amenazas que envía correos electrónicos de phishing a los empleados o explota una vulnerabilidad
- Vulnerabilidad: una debilidad en las aplicaciones, redes o infraestructura de su organización que podría exponer sus datos y activos.
Identificación de riesgo
Antes de identificar el riesgo, debe determinar los activos de información que su organización necesita salvaguardar mediante la creación de un registro de activos. Los activos incluyen:
- Información o datos
- Propiedad intelectual
- Ubicaciones físicas y edificios.
- Todas las funciones a su disposición
- Ferretería
- Software.
Al identificar los riesgos para estos activos, debe considerar los riesgos que pueden afectar la confidencialidad, integridad y disponibilidad de los datos (conocidos como CIA), incluidos:
- Cualquier problema externo o interno (de acuerdo con Cláusula 4.1)
- Las necesidades y expectativas de las partes interesadas (en línea con Cláusula 4.2)
- Legislación, reglamentos o requisitos contractuales aplicables
- El alcance del sistema (de acuerdo con Cláusula 4.3)
- Cualquier régimen de cumplimiento adicional dentro de la organización, como Cyber Essentials.
Análisis de riesgo
El análisis de riesgos es el proceso de calificar cada riesgo en función de la probabilidad y el impacto de su ocurrencia.
Dentro de la plataforma ISMS.online, puede calificar la probabilidad de riesgo de muy bajo a muy alto (1-5) y el impacto de ninguno a severo (0-5). Estos factores puntúan cada riesgo sobre 25, considerándose el impacto más importante que la probabilidad. Esto le permite priorizar el tratamiento según la puntuación de riesgo.
Por ejemplo, su organización podría identificar como un riesgo que un empleado dirija erróneamente un correo electrónico al destinatario equivocado. Al comparar sus criterios, puede decidir que la probabilidad es media y el impacto es menor debido a la posibilidad de que la información comercial se envíe por error a muchos destinatarios en comparación con un solo destinatario, lo que otorga al riesgo una puntuación relativamente baja. El siguiente paso es decidir cómo tratar ese riesgo.
Tratamiento de riesgos
El propietario de cada riesgo es responsable de identificar el tratamiento de riesgo adecuado. También deberían considerar criterios para tolerar el riesgo. Las cinco opciones de tratamiento son:
- Terminar – eliminar el riesgo por completo
- Tratar – para reducir el impacto o la probabilidad del riesgo
- Fichajes – transferir o compartir el riesgo (por ejemplo, adquiriendo un seguro)
- Tolerar – aceptar el riesgo residual
- Una combinación – realizar más de una de las acciones anteriores.
La aceptación del riesgo, también conocida como tolerancia al riesgo, debe basarse en los siguientes criterios:
- El nivel de riesgo a aceptar.
- El tipo y volumen de información de identificación personal (PII) en riesgo
- Obligaciones legales, reglamentarias o contractuales
- Objetivos comerciales y requisitos de cumplimiento
- Cualquier otro riesgo conflictivo que pueda introducirse o modificarse al tratar el riesgo identificado, como riesgos a los niveles de recursos.
Puede decidir tolerar el riesgo del ejemplo después de considerar un contexto más detallado. Por ejemplo, es posible que su organización haya implementado controles más amplios que reducen el impacto de que un correo electrónico se reenvíe por error al destinatario equivocado, como Anexo A.5.14 transferencia de información y A.6.4 proceso disciplinario.
Es posible que se requiera tratamiento para riesgos más graves, como una violación de datos personales. En este ejemplo, el propietario del riesgo puede tratar el riesgo realizando periódicamente capacitaciones sobre concientización sobre phishing para todos los empleados e implementando herramientas para monitorear la actividad de phishing. El nivel de riesgo también indica con qué frecuencia se debe revisar: por ejemplo, mensual, trimestral, semestral o anual.
Abordar el riesgo con controles ISO 27001
Su proceso de evaluación de riesgos le dejará con un conjunto claro de riesgos, mientras que el proceso de tratamiento de riesgos requiere que seleccione opciones apropiadas de tratamiento de riesgos y determine los controles que necesita implementar. El Anexo A de ISO 27001:2022 proporciona un conjunto de 93 controles en cuatro categorías: controles organizacionales, controles físicos, controles de personas y controles tecnológicos.
Estos controles incluyen procesos, políticas, dispositivos, prácticas y otras condiciones o acciones que mantienen o modifican el riesgo, como políticas de contraseñas, software antivirus y criptografía. Implementarlos ayuda a mitigar los riesgos y reducir el impacto de los incidentes de seguridad de la información. Usando los controles establecidos en ISO 27001:2022 Anexo A garantiza que ha adoptado un enfoque exhaustivo para abordar los riesgos de su negocio.
Los controles esenciales del Anexo A de ISO 27001:2022 incluyen:
- A.5.1 Políticas de seguridad de la información, que requiere que su organización cuente con un documento de política de seguridad de la información para proteger contra amenazas a la seguridad de la información.
- A.5.34 Privacidad y protección de la PII, un control preventivo con pautas y procedimientos para ayudar a su organización a cumplir con sus requisitos relacionados con el almacenamiento, la privacidad y la seguridad de la información de identificación personal (PII)
- A.6.8 Notificación de eventos de seguridad de la información, cuyo objetivo es facilitar la notificación oportuna, coherente y eficaz de los eventos de seguridad de la información detectados por el personal.
- A.7.9 Seguridad de los activos fuera de las instalaciones, que requiere que las organizaciones establezcan e implementen protocolos y regulaciones que cubran todos los dispositivos que poseen o se utilizan en nombre de la empresa.
- A.8.7 Protección contra malware, que proporciona pautas para ejecutar una defensa contra malware que abarca sistemas controlados y acceso a cuentas, gestión de cambios, software antimalware y concienciación sobre la seguridad de la información organizacional.
- A.8.24 Uso de criptografía estipula siete requisitos que las organizaciones deben cumplir cuando utilizan métodos criptográficos.
Los procesos de identificación de riesgos y controles se simplifican dentro de la plataforma ISMS.online. Como estándar, la plataforma identifica más de 100 riesgos comunes y sugiere controles relevantes que se pueden aplicar para tratar cada riesgo, lo que reduce significativamente la carga de trabajo de evaluación y gestión de riesgos.
La importancia del seguimiento continuo de los riesgos
El monitoreo y las revisiones continuos son una parte vital de la gestión de riesgos porque la probabilidad o el impacto de un riesgo pueden cambiar con el tiempo, lo que significa que se requiere un nuevo método de tratamiento. Para los riesgos de bajo nivel, puede decidir que las revisiones anuales son suficientes, mientras que es posible que sea necesario reevaluar los riesgos de nivel medio cada tres o seis meses y los riesgos de nivel alto cada mes.
Cualquiera que sea el período de revisión que usted decida que es apropiado para un riesgo identificado, es vital asegurarse de que los propietarios del riesgo lo entreguen para que usted tenga una vista actualizada del mapeo de riesgos de su organización. La plataforma ISMS.online notifica automáticamente a los propietarios de riesgos cuando vencen eventos como las revisiones anuales de riesgos, lo que garantiza que su gestión de riesgos sea sólida y coherente con un esfuerzo mínimo por parte de su equipo.
Estas revisiones periódicas se pueden utilizar como evidencia de que su organización mantiene y desarrolla un sistema de gestión de seguridad de la información (SGSI) sólido para su auditor.
Simplificando la gestión de riesgos con ISMS.online
Además de proporcionar un banco de riesgos listo para usar con más de 100 riesgos comerciales comunes, la plataforma ISMS.online también contiene un mapa de riesgos dinámico. El mapa le brinda una supervisión actualizada del perfil de riesgo de su organización, por lo que es más fácil que nunca coordinar su gestión de riesgos, ver amenazas y oportunidades potenciales y mantener informadas a las partes interesadas.
La plataforma también viene con una función de recordatorios dinámicos, que recuerda automáticamente a los propietarios de riesgos cuándo es el momento de revisar un riesgo del que son responsables, ya sea que deba revisarse mensual, trimestral, semestral o anualmente. El gráfico del historial de riesgos le permite identificar y realizar un seguimiento de las fuentes de riesgo y destaca cómo ha evolucionado su perfil de riesgo.
Administre proactivamente su riesgo de seguridad de la información
Para muchas empresas, la certificación ISO 27001 presenta una ventaja competitiva innegable: pueden demostrar a los clientes actuales y potenciales que están comprometidos a mantener sus datos seguros.
La gestión de riesgos y la implementación de controles son aspectos vitales de la certificación ISO 27001, y forman el núcleo de una postura sólida de seguridad de la información y un SGSI. La gestión proactiva de riesgos le permite monitorear los riesgos, prevenir incidentes y reducir el impacto de los incidentes que ocurren. Al priorizar la evaluación de riesgos como un proceso continuo, puede garantizar que su organización esté siempre preparada para responder a las últimas amenazas.
La plataforma ISMS.online proporciona un enfoque simplificado para la evaluación de riesgos, con un banco de riesgos, controles sugeridos para cada riesgo y automatización que recuerda a los propietarios de riesgos cuándo es el momento de revisar los riesgos de los que son responsables. Si está listo para lograr el cumplimiento de la norma ISO 27001 fácilmente y ahorrar tiempo en su gestión de riesgos, reserve su demostración.
