skip to Main Content
ISO 27001 en el Sector Público: Cómo gestionar amenazas y vulnerabilidades

ISO 27001 en el Sector Público: Cómo gestionar amenazas y vulnerabilidades

ISO 27001 en el Sector Público: Cómo gestionar amenazas y vulnerabilidades

ISO 27001 en el Sector Público

La norma ISO 27001 en el Sector Público es cada vez más aplicadada como referente para la certificación de su Sistema de Gestión de Seguridad de la Información por los múltiples beneficios que aporta.

La implementación de un Sistema de Gestión de la Seguridad de la Información  basado en la norma ISO 27001 en el Sector Público requiere que en primer lugar realicemos un análisis de los riesgos existentes, para, tras ello, proceder a la identificación de las potenciales amenazas y vulnerabilidades a las que se enfrenta la institución en cuestión.

Amenazas y vulnerabilidades en ISO 27001 en el Sector Público

Cuando hablamos de amenazas, nos referimos a toda aquella situación que pueda generar un incidente en cuanto a la seguridad de la información. Las amenazas a las que las organizaciones públicas pueden hacer frente son de diversa índole, pudiendo ir desde los propios desastres naturales, siniestros, agresiones, accidentes, entre otras.

El organismo público que esté en proceso de implantación del SG-SSI basado en ISO 27001, deberá realizar un listado de todas aquellas amenazas que hubiera detectado y una vez obtenida tal lista, debemos proceder a evaluar la probabilidad de que tal amenaza suceda sobre los activos de la información presentes en la entidad.

Para calcular tal probabilidad, previamente, necesitamos tener conocimiento de si el activo en concreto sobre el que recae la amenaza, es vulnerable o no a la misma.

 

En este sentido, conviene resaltar que existen amenazas que harán a todos los activos de la información ser vulnerables ante los mismos. Sin embargo, habrá otras amenazas, frente a las cuales, con los adecuados controles con los que cuente la institución, permita frenarlas impidiendo que los activos sean vulnerables.

Así pues, mediante el término de riesgo podemos medir el grado de seguridad que tiene una institución sobre su información, para lo cual realizaremos la mencionada evaluación y valoración. Esto permitirá a la entidad poder diseñar la estrategia necesaria para actuar frente a tales riesgos y amenazas.

Mediante los controles de seguridad establecidos, el organismo podrá actuar contra los riesgos, reduciendo las vulnerabilidades y eliminando así la probabilidad de que acabe ocurriendo o al menos, disminuyendo el impacto que dicha amenaza podría ocasionar sobre el activo de la información concreto.

Plan de Gestión de Riesgos

Mediante la definición y aplicación de un Plan de Gestión de Riesgos, la entidad logrará un nivel de seguridad de la información calificado como óptimo. Este nivel de seguridad de la información vendrá medido por el llamado riesgo residual.

Cuando hablamos de riesgo residual, realmente estamos haciendo mención al conjunto de riesgos que el organismo público en concreto define como soportable.

La decisión sobre el nivel de riesgo considerado como asumible guarda una estrecha vinculación con el nivel de prevención definido en la institución concreta del Sector Público.

En base a los riesgos, la organización pública debe realizar un seguimiento de manera continuada, puesto que el entorno cambiante obliga a la misma a estar en continuo cambio para adaptarse y esto irá generando una modificación en los riesgos a los que se expone y en consecuencia también será necesario una adaptación a los mismos de las estrategias de seguridad de la información con la que cuente la institución.

Ahora bien, es importante tener en consideración el hecho, de que a medida que el organismo aumenta su tamaño, el problema de gestión de riesgos se complica, puesto que hay implicados un mayor número de activos de la información, estando además, las responsabilidades sobre los mismos, divididas en departamentos.

Además, los requisitos relativos a la seguridad de la información varían en función del sector en el que nos encontremos.

Uno de los aspectos de mayor relevancia en la cuantificación del riesgo, es la propia valoración del activo de la información.

Software ISO 27001

Con el Software de ISOTools Excellece  es posible automatizar el Sistema de Gestión de la Seguridad de la Información. Esta plataforma dispone de un conjunto de aplicaciones con el objetivo de garantizar la seguridad de la información de las organizaciones privadas y públicas, haciendo más ágil y eficiente la gestión del mismo.

¿Desea saber más?

Entradas relacionadas

Plan De Respuesta A Emergencias
6 Puntos clave para probar su plan de respuesta a emergencias

Hemos hablado de la importancia del plan de respuesta a emergencias, de las características que este documento debe…

Ver más
Back To Top