Consultor de Seguridad, Perito Informático
El Riesgo Residual en ISO 27001
Hola a tod@s
De entrada aviso que este post es puramente sobre ISO 27001 y 27005 por lo que aquellos que no se encuentren familiarizados con el tema les puede resultar algo denso.
Los debates sobre el riesgo residual suelen ser un tema recurrente entre consultores de seguridad de la información. Normalmente estos debates están enfocados en cómo es posible asignar un porcentaje de reducción a una determinada contramedida que permita calcular el riesgo remanente tras su aplicación, pero el propio concepto de riesgo residual en ocasiones genera otras controversias.
Este término no viene definido en ISO 27000 como cabría esperar puesto que ésta norma es de 2009 y el término ya quedó definido en ISO 27001 en el apartado 3, término 3.9 se describe como sigue:
Riesgo Residual: Riesgo remanente que existe después de que se hayan tomado las medidas de seguridad
Sin embargo, si acudimos a la norma 27005 ésta deja bien claro que este riesgo residual no se refiere al riesgo efectivo tras la aplicación de las medidas sino al teórico que se calcula durante el análisis de riesgos en la fase de Plan.
Esto empieza a dejarlo claro en la tabla 1 donde expone lo siguiente:
Tabla 1 – Alineación del SGSI y el Proceso de Gestión del Riesgo de Seguridad.
En esta tabla se puede observar que la aceptación del riesgo se encuentra en la fase de Plan del ciclo PDCA. Vamos a ver qué dice ISO 27005 en lo referente al riesgo residual.
La efectividad del trataminento de riesgo depende de los resultados de la evaluación de riesgo. Es posible que el tratamiento de riesgo no dé con un nivel aceptable de riesgo residual. Ante esta situación, si es necesario, podría requerirse otra iteración de la evaluación del riesgo con otros parámetros del contexto (por ejemplo valoración del riesgo, aceptación del riesgo o criterio de impacto), seguido a posteriori por otro tratamiento de riesgo (Vea la figura de abajo)
La actividad de aceptación del riesgo tiene que asegurar que los riesgos residuales son aceptados por los gerentes de la organización. Esto es especialmente importante en una situación donde la implmentación de controles se omite o pospone por motivos como los costes.
[...]
Una vez el plan de tratamiento de riesgo ha sido definido, es necesario determinar los riesgos residuales. Esto implica una actualiación o re-iteración de la evaluación de riesgos, teniendo en cuenta los efectos esperados de los tratamientos de riesgos propuestos. En caso de que los riesgos residuales no cumpliesen los criterios de aceptación de riesgo, una iteración más podría ser necesaria antes de proceder a la aceptación del riesgo.
Este último párrafo acaba de despejar las dudas, lo que se calcula es el riesgo resultante tras la aplicación de los tratamientos seleccionados teniendo en cuenta los efectos esperados. Es por esto también que en el punto 4.2.1.h de la norma 27001 habla de “Obtener la Aprobación de los Riesgos residuales propuestos“.
Tras leer todo esto parece quedar todo claro pero si tan sólo se ve la definición parece hablar del riesgo tras implantar las medidas de seguridad, lo que puede desviarnos de una buena interpretación.
Salu2!
Hola David,
Contigo en principio no estoy tan de acuerdo, ¿podrías explicar mejor la problemática?, yo aquí lo que veo es que el porcentaje de reducción del riesgo hay que asignarlo de alguna forma y sea cual sea, siempre que ésta no varíe durante la implantación y forme parte de las propias premisas como un valor que va de la mano a una contramedida, el resultado es comparable y reproducible.
Un saludo.
[Translate]