Expresando el riesgo de no tener una política de seguridad (por ejemplo, ISO 27002, capítulo 5)

Como optimista, diría: estás mirando esta mitad derecha.

Tiene razón sobre el hecho de que el hecho de no tener una política de seguridad crea riesgos.

No está en lo cierto al respecto de que esto no incluya los riesgos comerciales. La propia ISO / IEC 27000 dice bajo el capítulo 3.6:

  

Un gran número de factores son críticos para la implementación exitosa de un SGSI para permitir que una organización cumpla con sus objetivos comerciales . Ejemplos de factores críticos de éxito incluyen los siguientes:

     

a) política de seguridad de la información , objetivos y actividades alineadas con los objetivos;

Para corregir aún más su pregunta: el riesgo que enfrenta la organización no es no cumplir con la norma ISO , el riesgo radica en las consecuencias que se derivan de no tener una política de seguridad .

¿Cuáles son esas consecuencias? Estas son amenazas que la organización respectiva podría enfrentar debido a la inexistencia de una política de seguridad. ISO27005 tiene algunos ejemplos en el Anexo C bajo "Compromiso de información" o "Acciones no autorizadas". Consulte el Anexo D para obtener información sobre el emparejamiento con las vulnerabilidades para dejar las cosas perfectamente claras.

Por ejemplo:

  

Falta de procedimientos para el manejo de información clasificada: error de uso

Esta vulnerabilidad y la amenaza emparejada se corresponden con una política faltante para el manejo de información clasificada. Una organización necesita una política como esa, que describe cómo se maneja la información clasificada y quién tiene acceso a ella en qué circunstancias, etc. Después de que se haya elaborado una política y se haya presentado a todos los empleados, se debe aplicar ^{en diversos grados} .

Si no hay una política - > no se puede hacer cumplir - > no puede haber ningún procedimiento - > la información clasificada se manejará mal = > por ejemplo: los empleados no destruyen archivos secretos antes de tirarlos.

^{(Puede encontrar todo esto en el capítulo 8.2 de la norma ISO / IEC 27002)}

Entonces, ¿cómo describe el riesgo al final?
Exactamente como usted describiría cualquier otro riesgo. La única diferencia es que esta es mucho más impactante. Simplemente siga el proceso de evaluación de riesgos en ISO / IEC 27005 e imagine una organización que no tiene una política de seguridad.

Todo está en las normas, solo tienes que mirar saber dónde.

Esta pregunta tiene dos tipos de respuestas. Uno, que lo aborda directamente. El segundo, cuestiona la pregunta en sí misma.

Vamos a discutirlos uno por uno.

Para responder a su pregunta, los riesgos organizativos de su información necesitarán un enfoque sistemático que no se pueda realizar de manera ad hoc. Necesitan ser pensados y manejados apropiadamente. De ahí la necesidad de un sistema de administración (un sistema de procesos para administrar la seguridad de su información).

Ahora, un ejercicio de evaluación de riesgos no debería citar la ausencia de un control como un riesgo. Eso, en mi humilde opinión, no es la forma correcta de hacer una evaluación del riesgo (no se menciona la "falta de bloqueo" como un riesgo. Se dice "posible robo" como un riesgo). Esa es también la razón de su confusión (no se pretende la falta de respeto), porque su mente de alguna manera sabe intuitivamente que esta no es la forma correcta. Esto, de hecho, es la vista opuesta. Si adopta esta opinión, puede terminar creando un sistema que será descartado por las partes interesadas o enfrentará una fuerte resistencia (porque no se entiende de manera intuitiva, ya que no se ha diseñado de esa manera). ¡Esta es también una de las razones por las que la documentación ISO 27001 en una empresa a veces se ve diferente de la práctica real!

Una mejor opción es: -

• Defina su negocio y sus componentes. (contexto)
• Identifique la información crítica para su negocio. Esto también incluye sus obligaciones legales, contractuales, relacionadas con la información (por ejemplo, algunos países tienen leyes que requieren que mantenga datos financieros durante los últimos 10 años. Otro ejemplo es un contrato con su cliente que estipula que usted mantenga sus datos separados de todos los demás competidores que usted está sirviendo, etc.)
• Dibuje un flujo de información en su empresa (este es un ejercicio muy grande y probablemente podría tomar mucho tiempo)
• Identifique los riesgos que podrían dañar la confidencialidad, integridad y disponibilidad de su información. Aquí, puede obtener ayuda de las herramientas de evaluación de vulnerabilidad y realizar una prueba de penetración para su red que contenga la información que está tratando de proteger. Puede utilizar el informe VAPT como entrada para la evaluación de riesgos.
• Ninguna empresa tiene 0 controles. Debes tener algunos controles ya presentes en tu sistema. Registrarlos contra los riesgos relevantes.
• Ahora, identifique los controles (consulte los detalles en ISO 27001 Annexure o ISO 27002), y póngalos en cada riesgo.
• Prepare un plan de acción para los riesgos.
• Implementar el plan de acción.

Estoy seguro de que podrás encajar casi todas las cláusulas en tus controles porque entonces, encajarán intuitivamente.

En la medida en que lo entiendo, su enfoque parece sólido (aunque no trabajo en un entorno ISO 27002). El punto en el que no estoy de acuerdo es cuando usted declara que no existe riesgo de negocio por no tener una estrategia de seguridad.

Si no tiene una estrategia de seguridad, no puede invertir racionalmente en seguridad. En ausencia de un enfoque coherente y un objetivo / estado objetivo, sus inversiones en seguridad se asignarán de manera arbitraria. Algunas áreas serán descuidadas, mientras que otras serán duplicadas. Los adversarios le informarán dónde no ha invertido.

Si no tiene una estrategia, la probabilidad de que la seguridad impida o perjudique su misión es tan alta que es una certeza virtual.

Como dije, no trabajo en un entorno ISO, pero ese sería mi enfoque. Espero que te ayude al menos un poco.

Sin un enfoque unificado y definido de la seguridad, la empresa, el personal y los procesos continúan proporcionando una función empresarial determinada sin ningún marco de referencia sobre cómo deben contribuir a la seguridad continua de la empresa.

Este es un riesgo ya que hay una falta de guías o marcos coherentes para garantizar que los procesos se implementen, mantengan, revisen, prueben y mejoren de forma segura.

Sin políticas, todo es orgánico, ad hoc, caótico. Si se puede revisar y demostrar que está estructurado y alineado con las mejores prácticas de la industria, probablemente solo sea por casualidad.