Con la incorporación del ISO 27001, todas las organizaciones cuentan con un nuevo estándar para la Gestión de Riesgos de Seguridad de la Información. Esta normativa ofrece una serie de pasos sistemáticos con la intención de ofrecer una gestión de riesgos óptima para todos los casos. Actualmente, existe también el esquema ISO 27005, el cual no es más que un complemento del mencionado al principio.
Por este motivo, puede que te preguntes ¿qué consideraciones debo tener en cuenta según el ISO 27005? Pues será algo que responderemos en este artículo.
Antes que nada, qué es el ISO 27001
Es un estándar internacional en el estudio y manejo de riesgos que afecten a la información poniendo en riesgo la integridad de una compañía. Que la información interna se vea comprometida por cualquier eventualidad es una situación en la que nadie quisiera estar. Sin embargo, existen lineamientos generales que deben seguirse para administrar, de la mejor manera posible, la exposición ante cualquier amenaza.
Esta regla o serie de lineamientos fueron dadas a conocer en octubre del 2005 por parte de la Gestión de la Seguridad de la Información. También denominado como ISO por sus siglas en inglés. La ISO/IEC 27005 existe desde el 2018 y se incorpora en el panorama mundial para la gestión de riesgos en la seguridad de la información.
¿En qué consiste la gestión de riesgos según la ISO 27005?
Si bien, no existe una única forma totalmente para abordar las vulnerabilidades o posibles afectaciones que produzcan la pérdida de información, supone una razonable mejora en el proceso de gestión de riesgos de seguridad de la información para que un SGSI(Sistema de Gestión de Seguridad de la Información) sea exitoso. Esto es debido a que dicta ciertas consideraciones a tener en cuenta al momento de evaluar, proteger y actuar ante cualquier clase de debilidad.
La capacitación en seguridad de la información es fundamental para evitar incidentes relacionados con la pérdida, secuestro o robo de información. La lista de prioridades expuesta por esta normativa es la siguiente:
- Estudiar las debilidades presentes en el sistema: los directivos se encargarán de considerar las debilidades existentes en el esquema empresarial. De esta manera, se tendrá en cuenta todo tipo de posibles amenazas que puedan afectar a la corporación.
- Evaluar y calificar las amenazas posibles: existirán problemas que sean de menor prioridad o que, simplemente, puedan solventarse rápidamente. Sin embargo, habrá otros problemas que exigirán la total atención para evitar un detenimiento de los procesos clave a nivel empresarial.
- Identificar los medios susceptibles a fallas: aquellos ordenadores o dispositivos que estén expuestos a errores o ataques. Podría ser la desactualización del sistema operativo o la ausencia de un programa para encriptar y desencriptar información. Ante cualquier eventualidad, es importante reconocer cuáles son los sistemas más vulnerables.
- Analizar la potencialidad de riesgos ante un ataque o pérdida: bajo una situación de riesgo, es necesario asumir las consecuencias y mantener el control. Si de acuerdo con nuestra clasificación de información determinados datos son borrados, pero hay manera de reescribirlos o recuperarlos, no suponen en una completa prioridad. Por otro lado, si se trata de documentos de información valiosa y sensible, será mejor enfocar todos los esfuerzos en mitigar los daños por su pérdida.
- Incorporar una herramienta de gestión: conocer la tecnología aliada forma parte de una buena gestión de los riesgos. Existen algunas herramientas dedicadas exclusivamente a la seguridad informática que si son implementadas de la mano de procesos maduros por equipos profesionales u otras organizaciones pueden ser de gran utilidad..
Procurar seguir estos lineamientos forma parte de las recomendaciones para reducir los riesgos en la seguridad de información.
La formalización de estos principios para proteger información delicada está pensada para que todas las compañías dispongan de prácticas generales de seguridad. En un panorama donde la informática empieza a dominar casi la totalidad del funcionamiento de cualquier empresa, es necesario incrementar la seguridad. De esto se trata la Gestión de riesgos de seguridad que expone el ISO 27005.