ISO 27001: ¿Cuánto cuesta la Seguridad de la Información?

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

ISO 27001: ¿Cuánto cuesta la Seguridad de la Información?

ISO 27001: ¿Cuánto cuesta la Seguridad de la Información?

ISO 27001

SGSI

A la hora de implantar un Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 en una organización esta se enfrenta a ciertas cuestiones como pueden ser:

  • ¿Qué seguridad necesito?
  • ¿Cuánto me cuesta dicha seguridad?

Para poder contestar a la primera de la cuestiones se debe realizar un trabajo de análisis mediante el cual la organización puede reflexionar sobre la importación de sus activos de información y evaluar los requisitos de seguridad que tiene que satisfacer.

A la segunda cuestión se responde identificando los medios de los que la organización dispone para cumplir con los requisitos de seguridad y realizando una evaluación de costes.

La gran dificultad a la que se puede enfrentar una organización a la hora de desarrollar un Sistema de Gestión de Seguridad de la Información es disponer de una referencia que le permita medir la seguridad que requiere y evaluar los costes asociados.

Hoy en día es posible identificar dos modelos de referencias significativos, estos son:

  • Modelos basados en buenas prácticas o controles generales.
  • Modelos basados en análisis y gestión de riesgos.

El primer modelo se basa en clasificar los activos de información por niveles de seguridad y establecer los controles de seguridad que se deben aplicar a cada nivel. Estos modelos disminuyen la complejidad del tratamiento de los requisitos de seguridad y establecen un modelo de gestión muy sencillo.

El segundo modelo está basado en la definición del concepto de riesgo como medida de seguridad. En los modelos basados en el análisis y gestión de riesgos, la información de la organización se encuentra sometida a un conjunto de amenazas que pueden ser internas o externas y que pueden utilizar las vulnerabilidades del sistema para originar incidentes de seguridad. Dichos incidentes producen una degeneración en la información y por consiguiente, en los procesos y servicios de negocio.

Para poder evitar estos incidentes, la empresa tiene que utilizar un conjunto de controles de seguridad.

El riesgo lo podemos definir como una función de los activos, las vulnerabilidades, las amenazas y los posibles impactos sobre los procesos y servicios de negocio.

El modelo de análisis y gestión de riesgos se postula como la alternativa más sólida para la Gestión de la Seguridad de la empresa. Su transcendencia se encuentra avalada por el desarrollo de numerosos estándares nacionales e internacionales, como puede ser la norma ISO27001, además de desarrollar numerosas metodologías y herramientas que los complementan.

El modelo de análisis y gestión de riesgo propuesto por los estándares internacionales, como puede ser la norma ISO-27001, se puede resumir en los siguientes pasos:

  • Establecer el alcance el análisis e identificar los activos de información que tienen que ser contemplados.
  • Identificar riegos, vulnerabilidades y amenazas que se encuentren sostenidas por la información de la organización.
  •  Analizar y valorar los riesgos identificados en función de la probabilidad de que ocurra un incidente o impacto asociado.
  • Evaluar los riegos a partir del análisis de riegos, la organización tiene que evaluar los mismos y decidir si pueden ser asumidos o no.
  • Tratar los riesgos, es decir, se deben tomar medidas de seguridad que mitiguen los riesgos.

El objetivo perseguido por la Estrategia de Seguridad de la Información es proteger la información de la organización. Y la razón para ellos es la dependencia que existe entre los servicios y los procesos de la organización.

A día de hoy, cualquier actividad, servicio o proceso llevado a cabo por una organización depende, en mayor o menor medida, de la información y de los medios utilizados para su procesamiento, almacenamiento o trasmisión. Cualquier incursión en estos últimos puede suponer un gran impacto para la organización, además de grandes pérdidas económicas por el tiempo perdido y por el valor de la información.

Como ya hemos comentado, el modelo de análisis y gestión de riesgos intenta identificar todos los riesgos a los que se pueden enfrentar la información, por lo que la organización debe priorizarlos y adoptar las medidas oportunas.

Lo primero que una organización debe tener claro es que información tiene y cómo sus servicios y procesos de negocio se apoyan en esta.

La empresa debe abordar un proceso de inventariado de la información. El proceso debe identificar, en primer lugar, los servicios proporcionados por la organización. A continuación, se tiene que identificar los procesos de negocio implicados en la identificación de la información que proporciona el soporte de los procesos. La organización dispondrá de un inventario con el que desarrollar el siguiente análisis de riesgos.

No sólo interesa disponer de servicios, procesos y activos, sino que también resulta interesante conocer todas las relaciones y dependencias que existen entre ellos.

Es importante incluir un inventario de servicios y procesos de organización porque el modelo de análisis y gestión de riesgos es capaz de identificar las amenazas y vulnerabilidades a las que se encuentra sometida la información.

Si, por alguna circunstancia, llegara a materializarse una amenaza en forma de incidente de seguridad, el impacto tendrá una doble vertiente:

  • Primero afecta a la propia información, causando una degradación o pérdida de la misma.
  • Segundo, dicha degradación o pérdida de un activo afectarán a los procesos de negocio que lo utilizan y a los servicios proporcionados por la empresa.

Las amenazas se materializan, explotando las vulnerabilidades que encontramos en los activos de la información, el impacto repercute en los servicios y procesos de negocio.

El enfoque alternativo que podemos pensar es que los activos de información tienen asociado un determinado valor. El valor del activo va a depender fundamentalmente de su importancia desde la perspectiva de los servicios y los procesos de negocio de la organización. Por lo que, un activo de escasa relevancia desde dicha perspectiva tendrá muy bajo valor para la organización.

Software para ISO 27001

El Software ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando...