ISO 31010: Utiliza un enfoque basado en los activos de la norma ISO 27001 para identificar los riesgos

ISO 31010

Uno de los cambios más significativos de la norma ISO 27001, un estándar mundial para Sistemas de Gestión de Seguridad de la Información, es que no prescribe ningún enfoque en la evaluación del riesgo. A pesar de que aún requiere la adopción de un enfoque de evaluación de riesgos basado en procesos, tiene la obligación de usar un modelo activo-amenaza-vulnerabilidad en la identificación de los riesgos existentes.

Este enfoque en el estándar proporciona más libertad para que las empresas elijan la identificación de riesgos, siendo el enfoque que mejor se adapta a sus necesidades, la ausencia de dicha orientación pude genera cierta confusión para las empresas que abordan la identificación de los riesgos.

Debemos saber cómo la norma ISO 31010 puede ayudar, mediante la presentación de algunos de los enfoques de identificación de riesgos que pueden utilizarse para encontrar, reconocer y describir los riesgos de una forma que sea compatible con la norma ISO 27001.

La identificación de riesgos

Según la norma ISO 31010 “Gestión del riesgo” las técnicas de evaluación de riesgos, con el propósito de identificar los riesgos identificando lo que puede suceder o lo que puede parar en diferentes situaciones, que pueden afectar a la consecución de los objetivos propuestos. Teniendo en cuenta la seguridad de la información, podemos ver todos estos ejemplos prácticos:

• Una subida de tensión puede hacer que falle una unidad de almacenamiento, lo que conlleva pérdida de datos.
• Falta de atención puede provocar que un trabajador envíe un informe a la persona equivocada, lo que lleva a que se divulgue de forma no autorizada cierta información.
• Un cambio en las condiciones ambientales puede generar que un dispositivo ofrezca lecturas erróneas.

Una vez que se detecte el riesgo, la empresa debe identificar todos los controles existentes que afectan al riesgo, y proceder a dar los siguientes pasos para realizar la evaluación de riesgos.

Metodologías de identificación de riesgos con ISO 31010

Para que sea de utilidad, la descripción del riesgo debe contener algunos elementos como:

• Las fuentes de riesgo: elementos en el escenario que, aislados o combinados, tienen el potencial de afectar a los resultados esperados.
• Evento: un conjunto específico de circunstancias.
• Causar: la condición inicial al comienzo del evento.
• Consecuencia: es el resultado del evento que afecta al objetivo.

Mediante la utilización de una metodología para identificar los riesgos, incrementar las posibilidades de identificar los elementos, ya sea mediante la recopilación de la evidencia verificable, aplicando el conocimiento experto o cualquier otra manera estructurada.

Si tenemos en cuenta esto, y la metodología utilizada para identificar los riesgos presentados en la norma ISO 31010, que puede poner de relieve todas las metodología utilizadas en la identificación de riesgos:

• Lluvia de ideas: una técnica de creatividad grupal para recoger una gran cantidad de información para encontrar una conclusión para una situación específica. Debido a su fuerte énfasis en la imaginación, es útil para identificar los riesgos en situaciones que requieren de una respuesta rápida y tiene pocos datos formales que se encuentren disponibles o sean nuevos en la empresa, al igual que los riesgos que implica la entrada en un nuevo segmento del mercado.
• Entrevista: una conversación donde las preguntar predefinidas son presentadas para conocer la percepción de una situación concreta y por que se identifican todos los riegos teniendo en cuenta su punto de vista. Es recomendable en el momento en el que se necesitan opiniones personales.
• Método Delphi: es una técnica de colaboración anónima utilizada para combinar las distintas opiniones de expertos de una forma fiable e imparcial hacia un consenso. Se diferencia de la lluvia de ideas, ya que trabaja para eliminar todas las situaciones peligrosas y crear otras. Debe tenerse en cuenta que en diferentes situaciones los participantes pueden afectar a las opiniones de las demás.
• Lista de comprobación: una técnica en la que se elabora un listado de elementos para asegurar que los temas más comunes sobre la materia no se han olvidado durante la identificación de riesgos. Esto incrementa la consistencia e integridad de la identificación de riesgos. Se recomienda la utilización en los casos en los que la información histórica, las referencias del mercado, y el conocimiento de las situaciones anteriores se encuentran disponibles.
• El análisis de escenarios: es la metodología que utiliza el modelo que describe los escenarios futuros para identificar los riesgos teniendo en cuenta los resultados, estrategias y acciones que condicen a los resultados y las posibles implicaciones para la organización. Un enfoque común en seguridad de la información es, por ejemplo, la utilización de escenarios y equilibrarlos para identificar los riesgos en el control de acceso. Debe tenerse en cuenta en diferentes situaciones en las que se dispone de muchas soluciones o resultados que se pueden generar grandes variaciones.

¿Qué pasa con el enfoque activo-amenaza-vulnerabilidad?

Aunque la metodología que se basa en los activos no es obligatoria en la norma ISO 27001. Las empresas que ya han implantado y que se consideren un enfoque apropiado para sus propósitos pueden seguir utilizándolo con normalidad. El aspecto principal para su adopción es la disponibilidad de una base de datos fiables activo.

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.