La Gestión de Riesgos en un SGSI

La implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) requiere de un conocimiento profundo de la Gestión de Riesgos. Tras haber determinado los riesgos existentes en una organización, se han de tomar las medidas adecuadas para hacerles frente.

El Risk Management es el proceso por el que se gestionan, minimizan, transfieren o eliminan los riesgos que afectan a los activos de información de la empresa. Para afrontar los riesgos se disponen de las siguientes opciones:

• Eliminar el riesgo. Consiste en eliminar los activos a los que el riesgo está asociado. Suele ser costoso. Al tratarse de una medida drástica, se suelen buscar opciones alternativas.
• Transferir el riesgo. Se valora la subcontratación de un servicio externo o de un seguro que cubra los gastos en el caso de que ocurra una incidencia. Hay casos en los que el valor del activo y el tipo de riesgo asociado no hacen viable la subcontratación. Cuando se opta por la contratación de un seguro, hay que asegurarse de que el valor del activo es superior al del propio seguro.
• Asumir al riesgo. Esto implica que no se van a tomar medida de protección con respecto a ese riesgo. La decisión es tomada por la alta dirección y solamente es viable en el caso de que la organización controle el riesgo y vigile que no aumenta.
• Mitigar e riesgo. La empresa debe implantar una serie de medida que actúen de salvaguarda para los activos. Todas las medidas implantadas han de ser documentadas y gestionadas por la empresa.

Una vez decididas las medidas a adoptar para aplicar a los riesgos identificados, se procede a la realización de un análisis. Éste tiene como resultado el riesgo residual y el nivel de riesgo aceptable por la empresa.

La norma ISO/IEC 27002 es una guía de buenas prácticas que ofrece una exhaustiva guía sobre los controles a implantar en la compañía a seguir para certificar el Sistema de Gestión de Seguridad de la Información de la empresa con la norma UNE-ISO/IEC 27001. La norma ISO/IEC 27002 tiene 39 objetivos de control y 133 controles.

Statement of Applicability (SOA) o Declaración de Aplicabilidad

Los controles deben estar recogidos en el Statement of Applicability (SOA) o Declaración de Aplicabilidad, así como sus objetivos, descripciones, razones o no de selección, aplicaciones y referencias a documentos en los que se detallan sus implantaciones. La elección de los controles está condicionada por los siguientes factores:

• Coste del control frente al coste de impacto.
• Necesidad de disponibilidad del control.
• Coste de implantación y mantenimiento.

Una vez que los controles son seleccionados, se procede a su implantación.