Esta sesión de la Escuela de Gestión de Riesgos, Leonardo Villamarín, expero en riesgos, nos enseña cuál es el contexto general ISO 27001, qué son las amenazas y vulnerabilidades, el proceso de identificación y control y cómo llevar toda esta teoría a la práctica en un software simple de usar como Pirani.
Contexto general ISO 27001
Definición:
La ISO 27001 es una norma internacional que establece los requisitos para un sistema de gestión de seguridad de la información (SGSI).
Su objetivo principal es otorgar un conjunto de medidas para proteger la confidencialidad, integridad y disponibilidad de la información.
Beneficios:
- Asegura una gestión proactiva de riesgos de seguridad.
- Mejora la confianza de las partes interesadas.
- Cumple con requisitos legales y reglamentarios.
- Facilita la integración con otros sistemas de gestión.
"La gestión de riesgos tiene sentido cuando está alineada con la estrategia organizacional. Por lo tanto la gestión de riesgos para la seguridad de la información, también lo debe estar".
- Activos de Información: Es todo que tenga valor para una organización y que respalde sus operaciones.
- Disponibilidad: Garantizar que la información esté siempre a disposición de quienes deben hacer uso de ella.
- Integridad: Validar que la información esté bien protegida y resguardada para evitar modificaciones de usuarios no autorizados.
- Confidencialidad: Prevenir la divulgación de la información a personas no autorizadas
Amenazas y vulnerabilidades
Amenazas
Una amenaza es cualquier evento o acción que podría comprometer la seguridad de la información.
Ejemplo:
- Malware: Virus, troyanos, ransomware.
- Phishing: Intentos de obtener información confidencial mediante engaño.
- Accesos no autorizados: Intentos de ingreso indebido a sistemas.
Vulnerabilidades
Una vulnerabilidad es una debilidad en un sistema que podría ser explotada para comprometer la seguridad de la información.
Ejemplo:
- Fallos en el software: Parches no aplicados.
- Configuraciones incorrectas: Accesos no seguros.
- Falta de capacitación del personal: Desconocimiento de políticas de seguridad.
Proceso de identificación y gestión de riesgos
- Construir equipo.
- Levantamiento de procesos, riesgos e inventario de activos.
- Identificación de amenazas.
- Identificación de vulnerabilidades.
- Análisis de riesgos.
- Priorización de riesgos.
- Implementación de controles.
- Monitoreo continuo.
- Capacitación del Personal.
- Revisión y actualización periódica.