SEGURIDAD INFORMÁTICA Y HACKING ÉTICO

Durante la implantación de la norma ISO 27001 debemos realizar un análisis de riesgos en nuestra organización. Durante este análisis debemos decidir qué riesgos son tan altos que es necesario actuar sobre ellos y cuales podemos asumir razonablemente según el valor cuantificado del riesgo. Para ello es necesario definir un criterio de aceptación del riesgo. El criterio de aceptación del riesgo es distinto para cada empresa y debe estar alineado con el negocio. Hay que recordar que la norma ISO 27001 establece que es dirección (management), clausula 5.1 f), quien debe definir los criterios de aceptación del riesgo y el nivel de riesgo aceptable. No tiene valor un criterio de aceptación del riesgo que establezca simple y llanamente que “los riesgos por encima de 50 no serán aceptables” ya que este nivel de aceptación del riesgo no se ha definido siguiendo criterios de negocio.

Para definir un criterio de aceptación del riesgo, la empresa debe tener una visión general de un SGSI, no debe encerrarse en la definición de seguridad, sino que debe tomar su significado en un sentido amplio, y debe pensar qué riesgos de la información debe evitar para que su negocio perdure. Criterios de aceptación del riesgo válidos pueden estar relacionados con el coste (total, coste del activo amenazado o coste frente a nivel de riesgo por ejemplo), con el departamento en el que se encuentre el riesgo, operaciones o proyectos a los que afecte una amenaza, el impacto sobre la organización u otros, pero siempre relacionados con el negocio.

Cuando tenemos el criterio de aceptación del riesgo, podemos definir un nivel de aceptación del riesgo que tenga en cuenta este criterio de aceptación. Es decir, el nivel de aceptación del riesgo, el que en el ejemplo citado al inicio era 50, debe estar alineado con los criterios de aceptación del riesgo. Por ejemplo, siendo distinto según la ubicación del activo o su valor. De esta manera obtenemos más valor del análisis de riesgos y podemos evidenciar durante una auditoría que efectivamente el criterio de aceptación del riesgo está alineado con el negocio.

Otra manera de definir el nivel de aceptación del riesgo, alineado con los criterios de aceptación, es hacerlo de manera iterativa. Definimos un nivel de aceptación del riesgo inicial y calculamos los niveles de riesgo. Entonces clasificamos los riesgos en aceptables y no aceptables según el nivel definido. Si la clasificación es coherente con los criterios de aceptación del riesgo, dejamos el nivel de riesgo como está, si apreciamos incoherencias incrementamos o decrementamos el nivel de aceptación del riesgo. Si cambiar el nivel de aceptación no es una solución, porque hay riesgos que entran o salen en conjunto, puede ser debido a que el cálculo del nivel de riesgo tiene incoherencias. Entonces, no será necesario ni útil cambiar el nivel de aceptación del riesgo sino que es necesario revisar la metodología de cálculo del riesgo y los niveles de amenaza, vulnerabilidad, impacto y valor del activo u otros atributos que debamos calcular según nuestra metodología.