4.1 EVALUACIÓN DE LOS RIESGOS DE SEGURIDAD
La evaluación de riesgos debería identificar, cuantificar y priorizar los riesgos frente a loscriterios para la aceptación del riesgo y los objetivos pertinentes para la organización. Los
resultados deberían guiar y determinar la acción de gestión adecuada y las prioridades tanto
para la gestión de los riesgos de seguridad de la información como para implementar los
controles seleccionados para la protección contra estos riesgos. Puede ser necesario llevar a
cabo el proceso de evaluación de los riesgos y la selección de controles varias veces para
cubrir diferentes partes de la organización o sistemas individuales de información.
Es recomendable que la evaluación de riesgos incluya el enfoque sistemático para estimar la
magnitud de los riesgos (análisis del riesgo) y el proceso de comparación de los riesgos
estimados frente a los criterios de riesgo para determinar la importancia de los riesgos
(valoración del riesgo).
Es conveniente realizar periódicamente las evaluaciones de riesgos para abordar los cambios
en los requisitos de seguridad y en la situación de riesgo, por ejemplo en activos, amenazas,
vulnerabilidades, impactos, valoración del riesgo y cuando se producen cambios significativos.
Estas evaluaciones de riesgos se deberían efectuar de forma metódica que puedan producir
resultados comparables y reproducibles.
La evaluación de los riesgos de seguridad de la información debería tener un alcance definido
claramente para que sea eficaz y debería incluir las relaciones con las evaluaciones de riesgos
en otras áreas, según sea apropiado.
El alcance de la evaluación de riesgos puede abarcar a toda la organización, partes de la
organización, un sistema individual de información, componentes específicos del sistema o
servicios, cuando es factible, realista y útil. En la norma ISO/IEC TR 13335-3 (Directrices para
la seguridad de la tecnología de la información: técnicas para la gestión de la seguridad de la tecnología de la información) se discuten ejemplos de metodologías para la evaluación del
riesgo.
4.2 TRATAMIENTO DE LOS RIESGOS DE SEGURIDAD
Antes de considerar el tratamiento de un riesgo, la organización debería decidir los criteriospara determinar si se pueden aceptar o no los riesgos. Los riesgos se pueden aceptar si, por
ejemplo, según la evaluación se considera el riesgo bajo o que el costo del tratamiento no es
efectivo en términos financieros para la organización. Tales decisiones se deberían registrar.
Para cada uno de los riesgos identificados después de la evaluación de riesgos es necesario
tomar una decisión para su tratamiento. Las opciones posibles para el tratamiento del riesgo
incluyen:
a) aplicación de los controles apropiados para reducir los riesgos;
b) aceptación objetiva y con conocimiento de los riesgos, siempre y cuando ellos
satisfagan la política de la organización y sus criterios para la aceptación del riesgo;
c) evitación de los riesgos al no permitir acciones que pudieran hacer que éstos se
presentaran;
d) transferencia de riesgos asociados a otras partes, por ejemplo aseguradores o
proveedores.
Para aquellos riesgos en donde la decisión de tratamiento del riesgo ha sido la aplicación de
controles apropiados, dichos controles se deberían seleccionar e implementar de modo que
satisfagan los requisitos identificados por la evaluación de riesgos. Los controles deberían
garantizar la reducción de los riesgos hasta un nivel aceptable teniendo en cuenta los
siguientes elementos:
a) requisitos y restricciones de la legislación y de las regulaciones nacionales e
internacionales;
b) objetivos de la organización;
c) requisitos y restricciones operativos;
d) costo de la implementación y la operación con relación a los riesgos que se reducen, y
que permanezca proporcional a los requisitos y restricciones de la organización;
e) necesidad de equilibrar la inversión en la implementación y operación de los controles
frente a la probabilidad del daño que resultará debido a las fallas de seguridad.
Los controles se pueden seleccionar a partir de esta norma, de otros conjuntos de controles, o
se pueden diseñar controles nuevos que satisfagan las necesidades específicas de la
organización. Es necesario reconocer que es posible que algunos controles no se puedan
aplicar a todos los sistemas y entornos de información, y pueden no ser viables para todas las
organizaciones. A modo de ejemplo, el numeral 10.1.3 describe la forma en que se pueden
segregar las funciones para evitar fraude y error. Es posible que las organizaciones pequeñas
no puedan segregar todas las funciones y que sean necesarias otras formas de lograr el mismo
objetivo de control. En otro ejemplo, el numeral 10.10 describe la forma en que se puede
monitorear el uso del sistema y recolectar evidencia. Los controles descritos, como el registro de eventos, pueden entrar en conflicto con la legislación correspondiente, como por ejemplo en
la protección de la privacidad para los clientes o en el sitio de trabajo.
Los controles de seguridad de la información se deberían tener en cuenta en la especificación
de los requisitos de sistemas y proyectos y en la fase de diseño. De lo contrario, se pueden
originar costos adicionales y soluciones menos eficaces y, es posible, en el peor de los casos,
la incapacidad de lograr una seguridad adecuada.
Se debe recordar que ningún conjunto de controles puede lograr la seguridad completa y que
se deberían implementar acciones adicionales de gestión para monitorear, valorar y mejorar la
eficiencia y la eficacia de los controles de seguridad para apoyar las metas de la organización.
No hay comentarios.:
Publicar un comentario