La evaluación de riesgos es una parte clave de los requisitos del estándar ISO27001 y es una certeza que una organización no se certifique a menos que se haya abordado esta área. Pero es uno de los sujetos que causa más confusión cuando está en el viaje hacia la certificación, particularmente la elección de qué tipo de evaluación de riesgos para llevar a cabo. En este artículo de blog, observamos dos de los enfoques de evaluación de riesgos ISO27001 más populares: basados en activos y basados en escenarios, y discutimos los pros y los contras de cada uno.
Un poco de historia…
En la versión 2005 del estándar ISO27001, la elección ya estaba hecha para usted; La evaluación de riesgos basada en activos fue el camino a seguir, y el texto fue bastante prescriptivo:
4.2.1 Establecer los ISM
d) Identificar los riesgos.
1) Identifique los activos dentro del alcance de los ISM y los propietarios de estos activos.
2) Identificar las amenazas para esos activos.
3) Identificar las vulnerabilidades que podrían ser explotadas por las amenazas.
4) Identificar los impactos que pueden tener pérdidas de confidencialidad, integridad y disponibilidad en los activos.
Por lo tanto, la discusión sobre cómo realizar una evaluación de riesgos fue un poco limitada.
La versión actual del estándar ISO/IEC27001
Sin embargo, en la versión de 2013, se nos permitió elegir nuestro propio enfoque de evaluación de riesgos, siempre que cumpliera ciertos criterios:
6.1.2 Evaluación de riesgos de seguridad de la información
La organización definirá y aplicará un proceso de evaluación de riesgos de seguridad de la información que …
Esto no significaba que no pudiera continuar realizando evaluaciones de riesgos basadas en activos, simplemente no tenía que hacerlo. Pero esto puede explicar por qué el método basado en activos sigue siendo popular en los isss de todo el mundo.
Entonces, ¿qué es una evaluación de riesgos basada en activos?
Una evaluación de riesgos basada en activos gira en torno a tres conceptos principales:
- Activos
- Amenazas
- Vulnerabilidades
Veamos cada uno de estos a su vez.
Activos
En teoría, los activos son cualquier cosa que tenga valor para su organización. En la práctica en un contexto ISO27001, estamos hablando principalmente de activos de información y la infraestructura que los respalda. Un activo de información suele ser un conjunto de datos que su organización usa o almacena para cumplir con su propósito, por lo que podría ser una base de datos de clientes, registros de proveedores, datos financieros, etc. La definición de activo también incluye hardware y software y cosas físicas como como Como edificios, pero estos tienden a ser secundarios a los activos de información, por lo que, por ejemplo, una base de datos de clientes se aloja en un servidor que ejecuta Apache.
Amenazas
Una amenaza es algo que podría sucederle a su activo para afectar su confidencialidad, integridad o disponibilidad (la «tríada de la CIA», un concepto central en ISO27001). Por lo tanto, este podría ser un hacker (el «actor de amenaza») que irrumpe en su servidor para robar su base de datos de clientes (el activo) o más probable, para cifrarla y exigir un rescate.
Vulnerabilidades
Este es el concepto que es probablemente el más difícil de comprender. ¿Qué es una «vulnerabilidad»? Bueno, básicamente es una debilidad que no se ha solucionado, lo que hace que sea más fácil para la amenaza atacar el activo. Una vulnerabilidad clásica es un error de software que no ha sido parcheado, y ha habido muchos involucrados en infracciones de alto perfil a lo largo de los años. Pero también podría ser un error de configuración, como no asegurar su cubo de AWS, o la falta de autenticación multifactor (MFA) en un inicio de sesión a un activo importante.
Poniendo todo junto
Una evaluación de riesgos basada en activos implica observar las amenazas a cada uno de sus activos y decidir si existen vulnerabilidades que la amenaza podría explotar para afectar a la CIA de su activo. Para aquellos que están por encima de su apetito de riesgo (es decir, el grado de riesgo con el que se siente cómodo), luego trataría el riesgo con uno o más controles.
Por ejemplo, la narración podría ser «Es muy probable que alguien pueda piratear el servidor (amenaza) que mantiene nuestra base de datos de clientes (activo) y la cifre porque no estamos parcheando a Apache correctamente (vulnerabilidad), por lo que compraremos algún software que lo parche más confiablemente (control) «.
Entonces, ¿cómo difiere una evaluación de riesgos basada en escenarios?
Mientras que una evaluación de riesgos basada en activos comienza con una lista de activos, una basada en escenarios comienza con una lista de cosas que podrían suceder (escenarios, muy similar a nuestra definición de amenazas anteriores). Por lo tanto, a menudo comenzaría con una sesión de lluvia de ideas para encontrar una lista de escenarios para considerar y luego trabajar a través de lo que sucedería si surgieran. Para evaluar el impacto correctamente, aún necesita tener una buena comprensión de sus activos y de los controles existentes que están en su lugar, por lo que este tipo de evaluación no es muy diferente a la que acabamos de describir.
La narración podría incluir preguntas como:
- ¿Qué pasaría si alguien pirateó nuestra red?
- ¿Cuál es el peor daño que podrían hacer?
- ¿Cómo estamos ya abordando este riesgo?
- ¿Qué más podríamos hacer para que sea más difícil para ellos?
Basado en activos o basados en escenarios, ¿cuál es mejor?
Lo importante aquí es que su evaluación de riesgos es tan integral como sea necesario y que produce un conjunto de acciones que realmente mejorarán su postura de seguridad. La mayoría de las personas estarían de acuerdo en que un enfoque basado en escenarios probablemente sea más fácil de entender, pero algunos argumentarían que esto se debe a que está menos estructurado y, por lo tanto, se pueden perder algunos riesgos. Sin embargo, el método basado en escenarios puede permitir que su equipo se concentre en los grandes e importantes riesgos primero para que los traten más rápido. Es probable que el enfoque basado en activos produzca una lista más larga de riesgos que, aunque esto significa que es más integral, podría hacer que su evaluación de riesgos sea difícil de manejar y más difícil de acción.
En resumen
Es una declaración razonable que «la mejor evaluación de riesgos es la que realmente hace», porque cualquier método que use, lo importante es que está alentando a todos los involucrados a pensar en los riesgos. De cualquier manera, deberá proporcionar al menos una capacitación básica sobre cómo realizar una evaluación de riesgos para que todos tengan claro el enfoque elegido.
Y una vez que tenga una evaluación de riesgos completa, estará un paso más cerca de lograr la certificación.
Escrito por el CEO de Certikit, Ken Holmes CISSP, CIPP/E. Ken es un auditor principal ISO27001 y ha ayudado a implementar, operar y auditar certificaciones ISO durante una carrera variada de 30 años en la industria de la tecnología de la información.
Publicado en inglés en: https://certikit.com/iso27001-risk-assessment-blog/
