ISO 27001: Vulnerabilidades de la organización

Sistema de Gestión de Seguridad de la Información

La norma ISO 27001 se encarga de proteger la información importante de las organizaciones que cuenten con un Sistema de Gestión de Seguridad de la Información implementado. Tomar la decisión de implementar dicha norma es algo muy importante para la organización, es necesario conocer las necesidades y los instrumentos con los que se cuenta para realizar dicha certificación. Uno de los valores que ofrece el SGSI es la protección de la información frente a las diferentes vulnerabilidades que podemos encontrar.

La buenas prácticas que encontramos en la norma ISO27001 o en documentos son el resultado de la experiencia que obtiene las organizaciones en esta materia.

En este sentido es muy importante poder mencionar, los criterios que expone la UNE-ISO/IEC 17799 y la metodología MAGERIT establecida por el Consejo Superior de Informática (CSI) que analiza los riesgos en la Seguridad de la Información.

Cuando no se llevan a la práctica los preceptos que emergen de las recomendaciones se verifican todas las debilidades que ponen en serio peligro todos los recursos de las organizaciones.  En este post vamos a identificar las vulnerabilidades que tienen las empresa, las causas por las que se manifiestas y los controles que se pueden aplicar en cada caso para proteger a los activos de información.

Las empresas, tanto públicas como privadas, utilizan para cumplir con sus fines diferentes recursos que son denominados activos.

Estos activos se encuentran expuestos a la acción de amenazas externas e internas de la organización. Algunas pueden ser naturales y otras pueden ser inducidas por el hombre, de forma accidental o deliberada.

Según la norma ISO-27001 hay diferentes formas de expresarlo:

• Vulnerabilidad: es la debilidad de un activo que puede ser explotada por una amenaza para materializar una agresión sobre el activo.
• Vulnerabilidad de un activo es la potencialidad o la posibilidad de que se materialice una amenaza sobre dicho activo.

Entendemos con esto que la debilidad de un activo se demuestra mediante la existencia de una amenaza que incide sobre él y que puede ocasionar un impacto.

En la RAE podemos encontrar las siguientes definiciones:

• Vulnerabilidad: cualidad de vulnerable

Para el diccionario Larousse Ilustrado:

• Carácter de lo que es vulnerable o atacable.
• Perjudicar, vulnerar la reputación ajena

Analizar las vulnerabilidades

El reconocimiento de las vulnerabilidades debe ser realizado menado el país y el entorno en el que se lleva a cabo la actividad de la empresa, y debe contemplarse de forma especial la situación inesperadas, sobre todo en los países donde la contingencias de la norma ISO 27001 y las organizaciones se encuentran sujetas a la creatividad de los políticas o reguladores.

Otros factores que hay que considerar con la cultura de la propia institución, son el sector de actividad o si la empresa pertenece a un sector en la se utilice de forma intensiva la tecnología.

La norma ISO27001 se aplica en la organización considerando el tamaño y la disponibilidad de los recursos que poseen. En las más pequeñas habrá muchos menos recursos que se asocian a la contemplación de la vulnerabilidad, aunque quizás las amenazas también sean mucho menores.

Las vulnerabilidades pueden encontrase asociadas al aspecto físico, organizacional, procedimental, personal, de gestión, de administración, equipos, software o información.

Si existe una vulnerabilidad no implica que se cause un daño, pero la amenaza se pude explotar generando un daño a los activos de información del sistema TI.

Entre otros motivos la vulnerabilidad en una organización se puede citar:

• Que sea función de la naturaleza del activo.
• Cambiar las condiciones externas que torne débil a un activo.
• Utilizar un activo de forma distinta al propósito original.
• Activos que sean fácil de ocultar.
• Falta de aplicación de procedimientos del Sistema de Gestión de Seguridad de la Información.
• Fallos del control interno.
• Desarrollar de forma incorrecta, es decir, mal uso de los controles.
• No utilizar correctamente la aplicación de los recursos.

La enumeración pone en evidencia la utilización de tecnología que no sea suficiente para proteger a los activos de la empresa. Es necesaria la aplicación de principios de buena administración y otras herramientas y recursos para proteger de los riesgos potenciales a los que está expuesta.

Como se ha podido expresar, existe una vulnerabilidad que no supone que haya unos riesgos, pues puede ser que no exista la amenaza. Una vulnerabilidad sin su correspondiente amenaza no requiere de un control exhaustivo.

Como el entorno puede modificarse, será necesario considerar la dinámica de las vulnerabilidades para confrontarlas con la evolución que se ha producido en las amenazas.

Por otra parte, realizar un desarrollo incorrecto del control, es decir, un mal uso puede ser considerado como vulnerabilidad.

Un detalle de las vulnerabilidades que se encuentran diferentes áreas de seguridad, en las que se pueden incluir las amenazas producidas. La relación que existe entre vulnerabilidad y amenazas puede ser utilizada durante el proceso de valoración de la vulnerabilidad.

Además de realizar la identificación de las vulnerabilidades, se debe evaluar con facilidad la explotación, analizando con respecto a cada amenaza que pueda ser afectada. Durante este proceso, que es denominación valoración de vulnerabilidades, se obtendrá como resultado una calificación de baja, medio o alta posibilidad.

Software para ISO 27001

El Software ISOTools Excellence para ISO-27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de los requisitos legales que  les repercuten.