Gestión de Riesgos y Controles ISO 27001 y NIST 800-53

¿Cómo evaluar el riesgo mediante la revisión de controles?

Para garantizar la seguridad en una organización, es vital realizar una adecuada evaluación de riesgos que contemple la revisión de controles. Existen múltiples referencias, estándares y marcos de trabajo que nos guían en esta tarea. Aquí se destacan principalmente la norma ISO 27001 y el documento especial 800-53 del Instituto Nacional de Estándares y Tecnología de los Estados Unidos.

¿Cuál es la referencia de ISO 27001 y 27002?

La norma ISO 27001 es una norma certificable que establece requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información. Dentro de su familia se encuentra la ISO 27002, que contiene los controles necesarios para cumplir con los requisitos de la ISO 27001. Si no se puede cumplir un control porque está fuera del alcance del negocio, es posible justificarlo adecuadamente en la Declaración de Aplicabilidad (SoA).

¿Qué es el documento NIST 800-53 B y C?

El NIST 800-53 ofrece una guía detallada sobre controles de seguridad y privacidad que ayudan a mitigar riesgos a sistemas de información. El 800-53B, además, proporciona una línea base que varía según el impacto que los activos tengan sobre los sistemas. Un ejemplo práctico sería implementar el cierre de sesión por inactividad en sistemas de impacto moderado a alto, tal como lo indica este documento.

¿Qué papel juega el documento 800-53 A?

El 800-53A está enfocado en la evaluación de control (Assessment). Ofrece métodos para evaluar la efectividad de los controles mediante preguntas y acciones específicas. Ayuda en la preparación para auditorías, indicando qué personal entrevistar, qué validar y cuáles documentos revisar.

¿Cómo se utiliza la declaración de aplicabilidad?

La Declaración de Aplicabilidad (SoA) es un documento que lista los controles aplicados, justificando su implementación o exclusión. En una hoja de Excel, podría contener:

• Nombre de control: según la norma utilizada.
• Implementación: aplica o no aplica.
• Justificación: razones detrás de su implementación o exclusión.
• Responsable: persona encargada de la decisión.

Este documento es esencial para auditores, facilitando el entendimiento de por qué se aplica o no un control, y las implicaciones de dichas decisiones. Sirve además para reportar a los superiores y justificar presupuestos, evitando inversiones en controles innecesarios.

¿Cómo se relacionan los activos, amenazas y riesgos?

1. Activos: Son valiosos y tienen sensibilidad.
2. Amenazas: Se dirigen a los activos degradándolos y pueden ocurrir con una cierta frecuencia.
3. Probabilidad e Impacto: Al juntar la frecuencia de la amenaza con el impacto en el activo, se determina el riesgo.
4. Control y Mitigación: Los riesgos se mitigan implementando controles que reducen el impacto y la frecuencia de ocurrencia de las amenazas.

¿Cómo se gestiona el riesgo residual?

Al aplicar controles, los riesgos no desaparecen por completo. El impacto resultante, conocido como riesgo residual, debe ser aceptado o tratado. La gestión del riesgo ocurre a lo largo de toda la organización, abarcando desde la estrategia hasta las operaciones. Es un elemento crucial en cualquier programa de seguridad, permitiendo a las organizaciones minimizar amenazas de manera efectiva y aceptar conscientemente los riesgos que permanecen.