El Riesgo Residual en ISO 27001
Hola a tod@s
De entrada aviso que este post es puramente sobre ISO 27001 y 27005 por lo que aquellos que no se encuentren familiarizados con el tema les puede resultar algo denso.
Los debates sobre el riesgo residual suelen ser un tema recurrente entre consultores de seguridad de la información. Normalmente estos debates están enfocados en cómo es posible asignar un porcentaje de reducción a una determinada contramedida que permita calcular el riesgo remanente tras su aplicación, pero el propio concepto de riesgo residual en ocasiones genera otras controversias.
Este término no viene definido en ISO 27000 como cabría esperar puesto que ésta norma es de 2009 y el término ya quedó definido en ISO 27001 en el apartado 3, término 3.9 se describe como sigue:
Riesgo Residual: Riesgo remanente que existe después de que se hayan tomado las medidas de seguridad
Sin embargo, si acudimos a la norma 27005 ésta deja bien claro que este riesgo residual no se refiere al riesgo efectivo tras la aplicación de las medidas sino al teórico que se calcula durante el análisis de riesgos en la fase de Plan.
Esto empieza a dejarlo claro en la tabla 1 donde expone lo siguiente:
Tabla 1 – Alineación del SGSI y el Proceso de Gestión del Riesgo de Seguridad.
En esta tabla se puede observar que la aceptación del riesgo se encuentra en la fase de Plan del ciclo PDCA. Vamos a ver qué dice ISO 27005 en lo referente al riesgo residual.
La efectividad del trataminento de riesgo depende de los resultados de la evaluación de riesgo. Es posible que el tratamiento de riesgo no dé con un nivel aceptable de riesgo residual. Ante esta situación, si es necesario, podría requerirse otra iteración de la evaluación del riesgo con otros parámetros del contexto (por ejemplo valoración del riesgo, aceptación del riesgo o criterio de impacto), seguido a posteriori por otro tratamiento de riesgo (Vea la figura de abajo)
La actividad de aceptación del riesgo tiene que asegurar que los riesgos residuales son aceptados por los gerentes de la organización. Esto es especialmente importante en una situación donde la implmentación de controles se omite o pospone por motivos como los costes.
[...]
Una vez el plan de tratamiento de riesgo ha sido definido, es necesario determinar los riesgos residuales. Esto implica una actualiación o re-iteración de la evaluación de riesgos, teniendo en cuenta los efectos esperados de los tratamientos de riesgos propuestos. En caso de que los riesgos residuales no cumpliesen los criterios de aceptación de riesgo, una iteración más podría ser necesaria antes de proceder a la aceptación del riesgo.
Este último párrafo acaba de despejar las dudas, lo que se calcula es el riesgo resultante tras la aplicación de los tratamientos seleccionados teniendo en cuenta los efectos esperados. Es por esto también que en el punto 4.2.1.h de la norma 27001 habla de “Obtener la Aprobación de los Riesgos residuales propuestos“.
Tras leer todo esto parece quedar todo claro pero si tan sólo se ve la definición parece hablar del riesgo tras implantar las medidas de seguridad, lo que puede desviarnos de una buena interpretación.
Salu2!
about 6 months ago
Pero sigue sin despejar el debate de “cómo es posible asignar un porcentaje de reducción a una determinada contramedida que permita calcular el riesgo remanente tras su aplicación”.
Es algo tan subjetivo el asignar un porcentaje de reducción, que devalua cualquier cálculo del riesgo residual…
about 5 months ago
Hola Luis, gracias por tu comentario, yo voy a tratar de darte mi opinión sobre este tema, al que si que le veo más margen de discusión que al del propio post
. Estos porcentajes de reducción se asignan en un principio por experiencia y no deberíamos alarmarnos por esto y caer en un “esto se está haciendo a ojo”, no es así (o al menos yo no lo veo), la experiencia y el conocimiento son bases suficientes para hacer una estimación en un primer momento. Ahora bien, con el tiempo, esos porcentajes de reducción del riesgo deberían asignarse nutriéndose de los datos arrojados por los controles implantados, permitiendo un ajuste más fino y no sólo basado en la experiencia.
Un saludo y gracias de nuevo por tu comentario.
about 5 months ago
Efectivamente no hay mucha discusión sobre el contenido del post, buena labor de investigación.
Pero sigo sin ver el asignar los porcentajes de reducción:
1) Factor muy subjetivo
2) Arduo mantenimiento de los porcentajes de reducción de las contramedidas (las amenazas y tecnología cambia continuamente), hay metodologías con cientos de contramedidas.
3) Un factor mas de complejidad a los análisis de riesgos, cosa que no beneficia ni a los clientes ni a los consultores
Es verdad que sería lo ideal, pero la implementación yo la he visto en algún que otro sitio y con tanta complejidad, los resultados no eran muy satisfactorios
PD: No hay de que dar las gracias
about 5 months ago
Hola a todos,
Cuando se hace una lectura de que se espera acerca de una metodología de evaluación de riesgos, tal y como se define en ISO 27001, es que los resultados sean comparables y reproducibles.
Esto implica que los datos basados en la experiencia y el conocimiento no son válidos para definir o aplicar una metodología de evaluación de riesgos, puesto que dos personas no llegarían a la misma conclusión partiendo de las mismas premisas.
Un saludo.
about 5 months ago
Hola Luis,
Estoy de acuerdo contigo, en las implantaciones que yo he hecho he utilizado una herramienta que calcula el riesgo residual de manera automática y éste no se nutre de los resultados de la implantación para ajustar estos porcentajes de reducción de riesgo en el futuro. Creo que esto sería ir más allá y la dificultad es clara, pasando porque habría que definir indicadores para poder calcular la reducción del riesgo por cada control implantado. Lo que a nivel teórico puede parecer lo ideal, a nivel práctico y de implantación puede ser una pesadilla.
Un saludo.