Un blog editado por ISOTools Excellence

SGSI (http://www.pmgssi.com/)
Blog especializado en Sistemas de Gestin
de Seguridad de la Informacin
BLOG (HTTP://WWW.PMG-SSI.COM/)

QUINES SOMOS (HTTP://WWW.PMG-SSI.COM/QUIENES-SOMOS/)

(https://www.youtube.com/channel/UCQF1dNIOIbXPLnTmSDUX9Yw)

ISO 27001: Cmo gestionar las amenazas y las vulnerabilidades?

24 diciembre, 2014

(https://plus.google.com/118175657162958976358/posts)
Search
(https://www.facebook.com/ISOTools)

ISO 27001:2013 (HTTP://WWW.PMG-SSI.COM/CATEGORY/ISO-270012013/),

(https://twitter.com/sgsi_)

SGSI (HTTP://WWW.PMG-SSI.COM/CATEGORY/ISO-270012013/SGSI/)

(https://www.linkedin.com/pub/pmgssi/9a/997/746)

Sguenos
(//cta-

(http://www.pmg-ssi.com/wp-content/uploads/2014/12/ISO-27001-24.png)

ISO 27001
Cuando una organizacin decide implementar un Sistema de Gestin de Seguridad de la Informacin basado en la
norma ISO 27001 (http://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/) debe realizar un anlisis de
riesgos y despus le prosigue una identicacin de amenazas y vulnerabilidades.

servicecms2.hubspot.com/ctas/v2/public/cs/c/?
cta_guid=476ec5e8-0478-488c-b2c758395dd22bae&placement_guid=12b233090b-4ef1-8ba4c9a3c61bd398&portal_id=459117&redirect_url=APefjpEo2ZKhIjcj2z462EC3ejKEyWhuuZ
vLH1jxMCjDxPcvU4smpeoxq-8Ohgnt27tEMnNDNMNWtrINhh5iJMxMOxQyqHn8OIIjqW5cuCEQaXEOy4vMg7OEbl8R8nZ3H_bbcEPDQ
ssi.com%2F2014%2F12%2Fiso-27001-comogestionar-las-amenazas-y-lasvulnerabilidades%2F)

Por amenaza podemos entender cualquier escenario o situacin que potencialmente puede materializarse con un
incidente de seguridad. El rango de amenazas al que est sometido el inventario de la empresa es muy variado:
Desastres naturales
Siniestros
Accidentes
Agresiones

ISOToolsExcellence
YouTube

1k

Etc.
Las organizaciones tienen que elabora una lista con todas las amenazas a las que se pueden ver sometidas para,
despus, evaluar la probabilidad que existen que dicha amenaza se haga real sobre los activos de informacin de
la organizacin.
A la hora de estimar la probabilidad de que una amenaza se materializa, es necesario conocer si el activo de

RECIBA NUESTRA NEWSLETTER

Suscrbase ahora y reciba nuestros post
por correo, adems de promociones y
descuentos para los cursos de
capacitacin de la Escuela Europea de
Excelencia.

informacin es vulnerable o no ante dicha amenaza.

Escribasunombre

Ante las amenazas y los activos de informacin nos encontramos con el mismo caso. La pregunta que se debe

Escribasuapellido

hacer ser la estimacin de la probabilidad de materializaciones, por lo que se conocer si el activo es o no

vulnerable ante dicha amenaza.
Existen amenazas ante las que todos los activos de informacin son vulnerables, como puede ser los desastres, los

Escribasucorreoelectrnico
Seleccioneunpas

siniestros y accidentes. Sin embargo hay otras en las que dependiendo la medidas y los controles de seguridad
que se utilicen por parte de la organizacin, pueden ser o no vulnerables, como pueden ser las agresiones y actos
intencionados.
El concepto de riesgo permite denir un marco de referencia para poder evaluar la seguridad de la informacin en
la organizacin. El proceso seguido de evaluacin y valoracin permite que la organizacin determine el grado de
exposicin de sus activos y as poder denir una estrategia que reduzca el riesgo.
Con la maniobra de controles de seguridad, la empresa puede actuar sobre los factores de riesgo, disminuyendo
las vulnerabilidades, mitigando la probabilidad de materializacin de cualquier amenaza o reduciendo el impacto
que se genera sobre los activos de la informacin en caso de que llegara a producirse un incidente.
Denir y ejecutar un Plan de Gestin de Riesgos facilitar a la empresa conseguir un nivel ptimo de seguridad
denido por un riesgo residual. El riesgo residual es el conjunto de riesgos que la empresa considera asumible.
Denir el umbral de riesgo residual es una decisin que se encuentra relacionada con la prevencin del riesgo en
la organizacin.
Se debe reexionar sobre la necesidad de desplegar un proceso de monitorizacin continua del riesgo. El entorno
dinmico en que se encuentra la organizacin obliga a realizar cambios continuos para adaptarse. Los cambios se
producen a diferentes niveles y en distintos entornos. Estos cambios pueden afectar al perl de riesgo de la
organizacin, es decir, el riesgo al que se encuentra sometido una organizacin puede variar a lo largo del tiempo y
normalmente, suele seguir una tendencia creciente.
El proceso de evaluacin y valoracin de riesgos debe ser un proceso continuo, ya que se debe adaptar la
estrategia de seguridad de la organizacin y ubicar a la misma el umbral de riesgo residual requerido.
La teora es algo bastante fcil de entender, lo difcil llega cuando se quiere poner en prctica en una organizacin.
Hay muchas organizaciones que desconocen lo que tienen, para qu lo usan, quines lo usan o quines lo
deberan usar.
El problema se acrecienta cuanto ms grande y compleja es la organizacin. Si una empresa no conoce cuantos
activos tiene su sistema informtico, difcilmente podr abordar un anlisis de riegos. Adems, tampoco podr
ponerle valor, por lo que no sabr a que vulnerabilidades y amenaza se encuentra expuesto.
En una organizacin grande las responsabilidades suelen estar repartidas por departamentos, por lo que estos
suelen ser consiente de los activos que utiliza su departamento y por ah podemos comenzar.
Sin embargo, el responsable de departamento no es conocedor de los activos de soporte, y algo similar ocurre en
los departamentos de sistemas y comunicaciones.
Por lo que es complicado valorar algo intangible y mantenerlos razonablemente actualizados. Una vez se cumplan
los requisitos legales, la caracterstica de la Seguridad de los Sistemas de Informacin ser mucho ms fcil de
justicar su disponibilidad.

Enviar
Heledoyaceptolos
trminosdeuso
(http://isotools.hs
sites.com/avisolegal?
__hstc=75286861.4744f7c7af22b5829042b013cb348c0f.1403544155536.14049237130

Si se tratasen temas relacionados con la condencialidad o integridad de la informacin, las discrepancias o la

complejidad del tema seran enormes.
Los requisitos de seguridad son muy particulares dependiendo del sector en el que trabaje la organizacin y
adems, son relativamente dinmicos. El aspecto de mayor consideracin a la hora de cuanticar el riesgo es la
valoracin del activo de informacin, ya que algo que antes poda se considerado de bajo riesgo puede haber
evolucionado hasta convertirse hoy da en crtico.
Para evitar falsas sensaciones de seguridad se debe mantener el sistema lo ms actualizado posible.
Cuando elaboramos un anlisis de riesgo podemos caer fcilmente en la tentacin de considerar la disponibilidad
como caracterstica principal de la seguridad. La disponibilidad es un concepto que casi todos conocemos, pero
que sucede si se trata con otras dos dimensiones de seguridad.
Si abordamos la determinacin del impacto relacionndola con la condencialidad y la integridad, la valoracin se
complica mucho ms.
Nos podemos preguntar Cunto vale la informacin que tiene una entidad o qu impacto supone su revelacin
pblica? Para responder a esta pregunta nos debemos hacer otra pregunta Cunto estara dispuesto a pagar
vuestro departamento comercial por disponer de esa informacin? Obviamente, es complejo determinar el impacto
econmico en cualquiera de los casos, pero s que es sencillo llevar a cabo estudios cualitativos.
A la hora de realizar un anlisis de riesgos debemos tener en cuenta:
Ser metdico para poder realizar el anlisis tantas veces como sea necesario a lo largo del tiempo.
Ser realista, ya que el anlisis ser tan bueno como la informacin de la que se disponga.
Ser riguroso y justicar los impactos
Como conclusin podemos obtener la siguiente frase: lo importante es sentirse razonablemente a gusto con el
resultado del anlisis de riesgos.

Software para SGSI

El Software ISO (http://www.isotools.org/plataforma/) para la Seguridad de la Informacin se encuentra
compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la informacin que manejan las empresas
no pierda ninguna de sus propiedades ms importantes: disponibilidad, integridad y condencialidad.

(http://info.isotools.org/seguridad-de-la-informacion-gestion-de-riesgos/)
(NoRatingsYet)

2015PMGSSI