El  establecimiento de metodologías, prácticas y procedimientos que buscan proteger la información como activo valioso, es el objetivo del conjunto de estándares de la ISO/IEC 27000.

En este sentido, con el fin de minimizar las amenazas y riesgos continuos a los que está expuesta cualquier organización y a efectos de asegurar la continuidad de negocio y  minimizar los daños, se desarrollan una serie de pasos de aplicación:

1. Elaboración de un Inventario de Activos: la información es poder, dice una de las consignas más antiguas en el mundo de los negocios, sin embargo, en la mayoría de las organizaciones se desconoce ese gran valor; de esta forma, la identificación, la categorización, la descripción, la asignación de propietarios y la localización de los activos de información es la base para la correcta gestión de la seguridad en cualquier empresa.
2. La Valoración de los Activos: una vez que la organización tiene identificados sus activos de información, debe valorarlos. La organización debe evaluar mediante una serie de parámetros los efectos que pudieran derivar en eventuales fallos de seguridad. En este sentido, se abordan los tres parámetros básicos en la seguridad:
   • Confidencialidad: a la información solo pueden acceder las personas autorizadas para ello.
   • Integridad: la información ha de estar completa y correcta en todo momento.
   • Disponibilidad: la información estará lista para acceder a ella o utilizarse cuando se necesita.
3. Análisis de Riesgos: existen numerosas metodologías para la elaboración del análisis de riesgos, cada organización ha de escoger aquella que se ajuste a sus necesidades. En todo caso, el objetivo del análisis es separar los riesgos menores de los mayores y proveer de información para el tratamiento de los mismos.

Centrándonos en el contexto de un análisis de riesgos, la organización ha de analizar las consecuencias sobre el origen del riesgo:

–         La determinación de la consecuencia (IMPACTO).

–         La probabilidad de que esas consecuencias suceda (PROBABILIDAD).

–         Las debilidades asociadas a los activos (VULNERABUILIDADES)

–         Las causas o pérdidas potenciales de los activos de información (AMENAZAS)

4. Tratamiento de los Riesgos y Selección de los Controles: Una vez que la organización conoce los riesgos, ha de definir las acciones a tomar:

– Gestionar el riesgo: la organización ha de seleccionar objetivos de control y controles para gestionar los riesgos identificados. En esta selección ha de tenerse en cuenta los criterios de aceptación de riegos, además de los requisitos legales, reglamentarios y contractuales.

– Aceptar los riesgos de manera consciente y objetiva. Los riesgos que se han asumido, han de ser controlados y revisados periódicamente de cara a evitar que evolucionen y se conviertan en riesgos mayores.

– Transferir los riesgos: se traspasa el riesgo por ejemplo subcontratando el servicio.

– Eliminar el riesgo, si bien no es una práctica muy común en las organizaciones, si se cree necesario, habrá que establecer los pasos para conseguirlo.

Ahora bien, ningún control nos puede ofrecer nunca seguridad absoluta, y por lo tanto siempre quedará un riesgo residual. La dirección de la organización, una vez definido el grado de aseguramiento requerido para los controles del Sistema de Gestión de Seguridad de la Información, deberá aceptar el riesgo residual y esto deberá ser tenido en cuenta si se produce un incidente de seguridad.

Por último, cabe destacar que en la mayoría de las organizaciones no se le asigna a la Seguridad de la Información la importancia que merece hasta que se presenta una eventualidad que hace considerar ese aspecto. Por ello, cabe destacar la importancia  y las grandes ventajas que hoy en día tiene la implantación de estos referenciales.

Autor: Luisa Piñeiro