ISO 27001

ISO 27001 ¿Cuáles son las amenazas y la vulnerabilidades?

ISO 27001

ISO 27001

Lo que conlleva a que suceda un incidente en las organizaciones son las amenazas, ya que generan un daño o una pérdida inmaterial de los activos de información. El Sistema de Gestión de Seguridad de la Información según la ISO 27001 facilita el control de dichas amenazas que pueden desencadenar en incidentes.

Podemos definir amenazas como la diversidad de consecuencias que pueden desencadenar en un impacto que debe ser examinado.

Características de las amenazas

En la definición que hemos mencionado se establece las esencias de las amenazas, por lo que es un evento potencial. La consecuencia que tienen las amenazas son incidentes que modifican el estado de seguridad que tienen los activos que se encuentran amenazados, suele pasar de un estado anterior a uno posterior, dependiendo de cómo se maneje la amenaza.

La distancia que existe entre la amenaza potencial  y la agresión real se mide por la potencialidad o la frecuencia de dicha materialización, por lo que se puede considerar como una agresión que se ha materializado, todas las amenazas se pueden clasificar en potenciales o materializadas.

Tipos de amenazas

Todas las amenazas pueden ser clasificadas por su naturaleza. Se pueden utilizar cuatro clasificaciones diferentes de las causas que generan la amenaza: no humanas, humanas involuntarias, intencionadas que necesitan presencia física y humana intencional que proviene de un origen remoto.

No humanas

  • A1: es un incidente físico que tiene origen industrial, por incendios, explosiones, contaminación, inundaciones, etc.
  • A2: son averías de procedencia física o lógica.
  • A3: son incidentes físicos que tienen origen natural, es decir, una riada, movimiento sísmico, etc.
  • A4: interrupciones de servicios que son esenciales para la organización: agua, la luz, los suministros, etc.
  • A5: incidentes electromagnéticos o mecánicos.

Humanas involuntarias

  • E1: Son errores a la hora de utilizar y transmitir los datos.
  • E2: Son errores de diseño que existen desde que hay procesos para desarrollar los software en la organización.
  • E3: Se generan errores en la entrega de la información.
  • E4: Son errores de monitorización, registros y trazabilidad del tráfico de la información.

Humanas intencionada con presencia física

  • P1: El acceso se inutiliza.
  • P2: En un acceso lógico que presenta una intercepción pasiva de la información.
  • P3: Es un acceso lógico que se sustenta de la información en tránsito, se reduce la confidencialidad para poder aprovechar bien los servicios.
  • P4: Es un acceso lógico que presenta una corrupción de la información en torno a la configuración y la disponibilidad del Sistema de Gestión de Seguridad de la Información.
  • P5: No está disponible para recursos humanos.

Humana intencional que tiene un origen remoto

  • T1: Es un acceso lógico que tiene  una actuación pasiva.
  • T2: Es un acceso lógico que presenta una corrupción de dicha información en la configuración.
  • T3: Es un acceso lógico que realiza modificaciones de la información.
  • T4: Se suplanta la información de origen.
  • T5: Se repudia la información desde el origen y se recepciona la información.

Métrica de las amenazas

Todas las amenazas presentan un único interés general que no está asociado al activo de información que ha sufrido una agresión, aunque podemos valorar la vulnerabilidad de dicho activo.

Vulnerabilidades

La vulnerabilidad de un activo de seguridad tiene la posibilidad de materializar una amenaza sobre un activo de información.

Características de la vulnerabilidad

La vulnerabilidad es un dominio entre la relación de un activo y una amenaza, aunque puede estar vinculado más al activo que a la amenaza. La vulnerabilidad es un concepto que presenta dos aspectos básicos:

  • Forma parte de la seguridad del activo en la propiedad de mediación entre el activo y la amenaza.
  • El aspecto dinámico, es un mecanismo que obliga a realizar una conversión de las amenazas, ya que la agresión sea materializado en el activo de información.

Podemos poner el siguiente ejemplo, tenemos una amenaza que puede ser una inundación, con lo que el activo será la zona inundable, por lo que la vulnerabilidad del activo  respecto de dicha amenaza, por lo que la vulnerabilidad dependerá las averías que genere el agua en la zona afectada.

No es asimilable la vulnerabilidad con la probabilidad que se ha utilizado durante el método científico-técnico, por lo que se establece un abanico de posibilidades. No se puede considerar el número de casos que pueden suceder, por lo que el denominador no tiene sentido.

Tipos de vulnerabilidad

Podemos considerar dos significados principales:

  • Vulnerabilidad intrínseca de activo, que se refiere al tipo de amenaza que depende de todas las cantidades.
  • Vulnerabilidad efectiva de activo, tiene en cuenta todas las salvaguardas que se aplican en cada momento a los activos. Existe un factor en el que se estima la eficiencia global.

Atributos de las vulnerabilidades

La vulnerabilidad intrínseca se puede descomponer en diferentes análisis detallados, que se encuentran en diferentes bloques:

  • Potencial autónomo con respecto al activo de seguridad que se encuentra amenazado.
  • Diferentes potenciales derivados en relación entre el activo y la amenaza.
  • Hay muchos factores que se encuentran sujetos a los generadores de potencia.
  • Existe la oportunidad de generar un acceso al dominio que cuenta con mucha capacidad y recursos.

Software para Sistema de Gestión de Seguridad de la Información

El estándar internacional ISO27001, junto con todas las normas que componen su familia, generan los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO-27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.  Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.

¿Desea saber más?

Entradas relacionadas

Compliance
Perú exige la implantación de un programa compliance para evitar sanciones
31 enero, 2018

Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…

Ver más
Proveedores
¿Por qué se debe auditar a los proveedores para la fabricación de alimentos?
26 diciembre, 2017

Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…

Ver más
Ley 29783
Ley 29783: Automatización de la Ley Peruana de Seguridad y Salud en el Trabajo
19 diciembre, 2017

Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…

Ver más
Gestión Del Rendimiento
Gobierno del Perú: Preguntas frecuentes sobre la gestión del rendimiento
12 diciembre, 2017

Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…

Ver más
Volver arriba