Uno de los aspectos esenciales de un Sistema de Gestión de la Seguridad de la Información (SGSI) de acuerdo a los requisitos de ISO 27001:2005, es la evaluación de los riesgos a los que están sometidos los activos de la organización.
Para ello existen dos conceptos fundamentales: Amenaza y Vulnerabilidad, sobre los cuales me gustaría recordar lo siguiente:
• RIESGO: (Inglés: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Según [ISO Guía 73:2002]: combinación de la probabilidad de un evento y sus consecuencias.
• AMENAZA: (Inglés: Threat). Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización.
• VULNERABILIDAD: (Inglés: Vulnerability). Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza.
De la lectura de la definición de vulnerabilidad, así como la mención en la propia ISO 27001:2005, cuando habla de “identificar los riesgos” (4.2.1.d) y dice “identificar las vulnerabilidades bajo las que podrían actuar dichas amenazas”, se entiende que la vulnerabilidad nunca es la consecuencia de la amenaza, sino una situación existente que pudiera ser aprovechada (explotada) por una determinada amenaza.
En muchos de los SGSI que he tenido la oportunidad de conocer, algunos incluso con varios años de existencia y evolución, he comprobado cómo se confunde vulnerabilidad con “consecuencia”, estableciendo la siguiente errónea analogía:
En el siguiente gráfico explico con un ejemplo la relación entre Riesgo, Amenaza y Vulnerabilidad:
Mi resumen:
• La vulnerabilidad nunca es la consecuencia.
• La vulnerabilidad es un factor o situación que debe existir para que la amenaza se manifieste.
• La vulnerabilidad es una “debilidad”.
• Las vulnerabilidades están ligadas a las características y condiciones de los sistemas de información, así como a su entorno.
• Las vulnerabilidades pueden ser cambiantes, incluso cuando las amenazas permanezcan estáticas.
Comentarios recientes