ILISO27001_T018 6.1.2 Evaluación de los riesgos de S.I.

Plataformas de Aprendizaje Autodirigido

6.1.2 Evaluación de los riesgos de S.I.

Explicación.

La organización define y aplica un proceso de evaluación de riesgos de seguridad de la información que:

a) establece y mantiene

  1. los criterios de aceptación del riesgo; y
  2. criterios para realizar evaluaciones de riesgos de seguridad de la información, que pueden incluir criterios de evaluación de las consecuencias y probabilidad, y reglas para la determinación del nivel de riesgo; y

b) garantiza que las evaluaciones repetidas de riesgos de seguridad de la información produzcan resultados consistentes, válidos y resultados comparables.

El proceso de evaluación de riesgos de seguridad de la información se define luego a lo largo de los siguientes subprocesos:

c) identificación de riesgos de seguridad de la información:

  1. identificar los riesgos asociados con la pérdida de confidencialidad, integridad y disponibilidad para información dentro del alcance del SGSI;
  2. identificar a los propietarios de los riesgos asociados con estos riesgos, es decir, identificar y nombrar personas con la autoridad y responsabilidad apropiadas para gestionar los riesgos identificados.

d) análisis de los riesgos de seguridad de la información:

  1. evaluar las posibles consecuencias en caso de que los riesgos identificados se materialicen como pérdidas monetarias o impactos comerciales indirectos como daños a la reputación. Las consecuencias evaluadas se pueden informar con valores cuantitativos o cualitativos;
  2. evaluar la probabilidad realista de ocurrencia de los riesgos identificados, con análisis cuantitativos (es decir, probabilidad o frecuencia) o valores cualitativos; y
  3. determinar los niveles de riesgo identificados como una combinación predefinida de consecuencias evaluadas y probabilidades evaluadas; y

e) evaluación de los riesgos de seguridad de la información:

  1. comparar los resultados del análisis de riesgos con los criterios de aceptación de riesgos establecidos anteriormente; y
  2. priorizar los riesgos analizados para el tratamiento de riesgos, es decir, determinar la urgencia del tratamiento de los riesgos que se consideran inaceptables y secuenciar si varios riesgos necesitan tratamiento.

Al aplicar el proceso de evaluación de riesgos de seguridad de la información, todos los pasos, así como los resultados de su aplicación se conserva como información documentada.

Guía.

Buscando eficiencia y eficacia de los procesos, un proceso de gestión de riesgos cuenta con estas características y principios:

  • Crea y protege el valor, pues contribuye al logro de los objetivos
  • La gestión del riesgo es parte integral de todos los procesos
  • Sus salidas son fundamentales en la toma de decisiones
  • Se ocupa de la incertidumbre
  • Es sistemática, estructurada y oportuna
  • Se basa en la mejor información disponible
  • Es específica
  • Toma en cuenta los factores humanos y culturales de la Organización
  • Es transparente e inclusiva pues se ubica en todos los procesos
  • Es dinámica, iterativa y orientada al cambio
  • Facilita la mejora continua

Proceso de evaluación de riesgos basado en la ISO 31000.

Orientación sobre el establecimiento de criterios de riesgo.

Los criterios de riesgos de seguridad de la información deben establecerse considerando el contexto de la organización y los requisitos de las partes interesadas deben definirse de acuerdo con las recomendaciones de la alta dirección.

Los criterios de riesgo de seguridad de la información deben establecerse en relación con los resultados previstos del SGSI según la norma ISO/IEC 27001:2022, 6.1.2 a), criterios relativos a la evaluación de riesgos de seguridad de la información.

Se deben establecer criterios considerando:

  • La evaluación de probabilidad y consecuencias.
  • Establecer criterios de aceptación.

Después de establecer criterios para evaluar las consecuencias y probabilidades de seguridad de la información la organización también debe establecer un método para combinarlos con el fin de determinar un nivel de riesgo.

Las consecuencias y probabilidades pueden expresarse de forma cualitativa, cuantitativa o semicuantitativa.

Los criterios de aceptación de riesgos se relacionan con la evaluación de riesgos (en su fase de evaluación, cuando la organización debe entender si un riesgo es aceptable o no), y las actividades de tratamiento de riesgos (cuando la organización debe entender si el tratamiento de riesgo propuesto es suficiente para alcanzar un nivel de riesgo aceptable).

  • pueden basarse en un nivel máximo de riesgos aceptables, en costos-beneficios y consideraciones o consecuencias para la organización.
  • deben ser aprobados por la dirección responsable.

Orientación sobre cómo producir resultados de evaluación consistentes, válidos y comparables (6.1.2b)

El proceso de evaluación de riesgos debe basarse en métodos y herramientas diseñados con suficiente detalle para que produzcan resultados consistentes, válidos y comparables.

Cualquiera que sea el método elegido, el proceso de evaluación de riesgos de seguridad de la información debe garantizar que:

  • Se consideran todos los riesgos, con el nivel de detalle necesario;
  • Sus resultados sean consistentes y reproducibles (es decir, la identificación de riesgos, su análisis y su evaluación puede ser entendida por un tercero y los resultados son los mismos cuando diferentes personas evalúan los riesgos en el mismo contexto); y
  • Los resultados de evaluaciones de riesgos repetidas son comparables (es decir, es posible entender si los niveles de riesgo aumentan o disminuyen).

Metodología.

1.- Establecer los criterios.

  • Considerando el contexto de la organización, cláusula 4.1
  • Considerando el alcance del SGSI.
  • Considerando las partes interesadas y sus Requisitos, cláusula 4.2.
  • Establecer criterios para evaluar las consecuencias y probabilidades de seguridad de la información.
  • Establecer un método para combinarlos con el fin de determinar un nivel de riesgo.
  • Expresar el nivel del riesgo de forma cualitativa, cuantitativa o semi-cuantitativa.
  • Establecer el nivel del riesgo Máximo aceptable.
  • Deben ser autorizados por la dirección.

Establecer criterios para evaluar las consecuencias y probabilidades de seguridad de la información.

Priorizar los riesgos según su gravedad. Es decir, cuanto mayor sea la probabilidad y mayor sea el impacto, mayor ha de ser la prioridad de gestión y de respuesta.

Establecer un método para combinarlos con el fin de determinar un nivel de riesgo.

Orientación sobre la identificación de riesgos de seguridad de la información.

La identificación de riesgos es el proceso de encontrar, reconocer y describir riesgos. Esto involucra el identificación de fuentes de riesgo, eventos, sus causas y sus posibles consecuencias.

El objetivo de la identificación de riesgos es generar una lista completa de riesgos basada en aquellos eventos que podría crear, mejorar, prevenir, degradar, acelerar o retrasar el logro de los objetivos de la seguridad de la información.

Normalmente se utilizan dos enfoques para la identificación de riesgos de seguridad de la información:

  • Enfoque basado en eventos: considera las fuentes de riesgo de forma genérica. Los hechos considerados pueden haber ocurrido en el pasado o pueden anticiparse para el futuro, en el primer caso pueden involucrar datos históricos, en el segundo caso pueden basarse en análisis teóricos y opiniones de expertos;
  • Enfoque basado en la identificación de activos, amenazas y vulnerabilidades: considera dos tipos diferentes de fuentes de riesgo: activos con sus vulnerabilidades intrínsecas y amenazas. Eventos potenciales considerados, aquí hay formas de cómo las amenazas podrían explotar una cierta vulnerabilidad de un activo para impactar el objetivo de la organización.

Metodología.

2.- Identificación de riesgos.

* Por lo general se usan dos enfoque, Enfoque basado en eventos y/o Enfoque basado en la identificación de activos, amenazas y vulnerabilidades.

El enfoque basado en activos, amenazas y vulnerabilidades corresponde al enfoque de seguridad de la información.

El enfoque de identificación de riesgos compatible con los requisitos de ISO/IEC 27001 para garantizar que las inversiones en identificación de riesgos no se pierdan.

Nota: No se recomienda que la identificación de riesgos sea demasiado detallada en el primer ciclo de evaluación de riesgos.

Identificación de activos para el enfoque basado en activos, amenazas y vulnerabilidades.

Se requiere identificar los activos para luego realizar la valoración del riesgo. Se identifican dos clases de activos:

  • Primarios
    • Actividades y procesos misionales, tecnología propietaria, aquellos con requisitos legales y contractuales
    • Información de procesos misionales, de alto costo de procesamiento, almacenamiento, transmisión y recuperación
  • Secundarios
    • Hardware
    • Software
    • Redes y conectividad
    • Servicios (Subcontratistas/proveedores/fabricantes)
    • Personas a cargo de toma de decisiones (Conocimiento del negocio)

Clasificación de activos.

La información que se recoge en un inventario de activos varía dependiendo del alcance del mismo. Es recomendable que exista un equipo de seguridad encargado de su gestión y actualización, así como de su revisión anual y tras cada incorporación o eliminación de activos. Este equipo será responsable de tareas como definir, inventariar y categorizar los diferentes activos dentro de los sistemas de control, así como de las redes internas y externas.

Amenaza.

Están presentes en cada sistema o activo bajo las premisas de:

  • Confidencialidad.
  • Disponibilidad.
  • Integridad.

El propósito es reducir el impacto negativo. De naturaleza defensiva.

  • Escenario (Causa) donde una acción o suceso (incidente) compromete la seguridad de un Activo de Información.
  • Causa: Motivo o circunstancia.

Perfiles de una Amenaza.

Determinan conjuntos típicos de amenazas, su tasa anual estimada de ocurrencia, y la degradación típica que causan en los activos, pueden variar a partir de un escenario a otro.

Los perfiles de amenazas proporcionan respuestas a las siguientes preguntas:

  • ¿Cuáles son las amenazas típicas sobre este activo?
  • ¿Cuál es la probabilidad típica?
  • ¿Cuál la degradación típica?

Clasificación de amenazas y vulnerabilidades a los activos de información.

Ejemplos de amenazas de la información:

  • Daño físico (Contaminación, accidentes, fuego, etc.)
  • Introducción de código malicioso al sistema.
  • Accesos/cambios no autorizados.
  • Ilegalidad de software.
  • Fraudes /robos de identidad.
  • Pérdida inesperada de los servicios críticos.
  • Accidentes ocasionados por eventos de la naturaleza.

Vulnerabilidad.

Deja a un sistema expuesto al ataque de una amenaza o permite el éxito o mayor impacto de la amenaza. Son explotadas por las amenazas.

  • Ej.: Incendio -> Gas.

Ineficiencia, condiciones adversas de operación, reputación, pérdida de oportunidad se identifican como consecuencias de las vulnerabilidades.

  • Grado de sensibilidad de un Activo.

Las Vulnerabilidades son debilidades de cualquier tipo que comprometen la seguridad de un Sistema de Información.

  • Aplicativos con defectos de construcción sin testing.
  • Configuraciones defectuosas en redes y equipos.
  • Ausencia de política de Continuidad de las operaciones.
  • Desactualización de S.O., DBMS y herramientas de desarrollo.
  • Sistema de comunicaciones débiles, sin protección.
  • Entrenamiento insuficiente del R.H.
  • Ausencia de planes de sucesión o entrenamiento.
  • Áreas susceptibles de inundación.

Estas debilidades pueden ser explotadas por las amenazas.

Orientación sobre el análisis de los riesgos de seguridad de la información.

El análisis de riesgos tiene como objetivo determinar el nivel del riesgo.

Se hace referencia a ISO 31000 en ISO IEC 27001:2022 como modelo general y requiere que para cada riesgo identificado el análisis se base en la evaluación de las consecuencias resultantes y evaluar la probabilidad de que ocurran esas consecuencias para determinar un nivel de riesgo.

Las técnicas de análisis de riesgos basadas en consecuencias y probabilidad pueden ser:

  1. Cualitativo, utilizando una escala de atributos de calificación (por ejemplo, alto, medio, bajo);
  2. Cuantitativo, utilizando una escala con valores numéricos (por ejemplo, costo monetario, frecuencia o probabilidad de ocurrencia); o
  3. Semi-cuantitativo, utilizando escalas cualitativas con valores asignados. Cualquiera que sea la técnica que se utilice para el análisis de riesgos, se debe considerar su nivel de objetividad.

Existen varios métodos para analizar los riesgos. Los dos enfoques mencionados (basado en eventos, en la identificación de activos, amenazas y vulnerabilidades) pueden ser adecuados para el análisis de riesgos de seguridad de la información. Los procesos de identificación y análisis de riesgos pueden ser más eficaces cuando se realicen con la ayuda de expertos en los riesgos relevantes en discusión.

3.- Análisis del riesgo.

El análisis del riesgo comprende las posibles consecuencias que pueden traer consigo determinadas situaciones y la probabilidad de que estas se produzcan con el objetivo de medir el nivel del riesgo.

La ISO 31000 se referencia en la ISO IEC 27001 como modelo general. Para determinar un nivel de riesgo, la ISO IEC 27001 exige que para cada riesgo identificado el análisis de riesgos se basa en la valoración de las consecuencias resultantes del riesgo y en la valoración de la probabilidad de que estas consecuencias ocurran.

 

Análisis del mapa riesgos.

Pasos clave para el análisis de riesgos de ISO/IEC 27001

Utilización de la norma ISO/IEC 27001 para evaluar y tratar las amenazas a nuestros activos de información

Orientación sobre la evaluación de los riesgos de seguridad de la información.

La evaluación de los riesgos analizados implica utilizar los procesos de toma de decisiones de la organización para comparar el nivel de riesgo evaluado para cada riesgo con los criterios de aceptación predeterminados para determinar las opciones de tratamiento de riesgos.

Este último paso de la evaluación de riesgos verifica si los riesgos que han sido analizados en el paso anterior pueden aceptarse de acuerdo con los criterios de aceptación definidos o necesitan más tratamiento. También proporciona información sobre la magnitud del riesgo, pero no información inmediata sobre la urgencia de implementar opciones de tratamiento de riesgos. Dependiendo de las circunstancias en las que ocurren riesgos, pueden tener diferentes prioridades de tratamiento. Por lo tanto, el resultado de este paso debería haber una lista de riesgos en orden de prioridad.

Es útil conservar más información sobre estos riesgos de los pasos de identificación y análisis de riesgos para respaldar las decisiones de tratamiento de riesgos.

4.- Evaluación del riesgo.

La evaluación de los riesgos analizados involucra el uso de los procesos de toma de decisiones de la organización para comparar el nivel valorado de riesgo para cada riesgo con los criterios de aceptación predeterminados, para determinar las opciones de tratamiento de riesgos.

Este paso final de la valoración de riesgos verifica si los riesgos que han sido analizados en los pasos anteriores pueden ser aceptados de acuerdo con los criterios de aceptación definidos.

La salida de este paso debería ser una lista de riesgos en orden de prioridad.

Lista de riesgos en orden de prioridad.

 

© 2025 Tzaloa.