Como optimista, diría: estás mirando esta mitad derecha.
Tiene razón sobre el hecho de que el hecho de no tener una política de seguridad crea riesgos.
No está en lo cierto al respecto de que esto no incluya los riesgos comerciales. La propia ISO / IEC 27000 dice bajo el capítulo 3.6:
Un gran número de factores son críticos para la implementación exitosa de un SGSI para permitir que una organización cumpla con sus objetivos comerciales . Ejemplos de factores críticos de éxito incluyen los siguientes:
a) política de seguridad de la información , objetivos y actividades alineadas con los objetivos;
Para corregir aún más su pregunta: el riesgo que enfrenta la organización no es no cumplir con la norma ISO , el riesgo radica en las consecuencias que se derivan de no tener una política de seguridad .
¿Cuáles son esas consecuencias? Estas son amenazas que la organización respectiva podría enfrentar debido a la inexistencia de una política de seguridad. ISO27005 tiene algunos ejemplos en el Anexo C bajo "Compromiso de información" o "Acciones no autorizadas". Consulte el Anexo D para obtener información sobre el emparejamiento con las vulnerabilidades para dejar las cosas perfectamente claras.
Por ejemplo:
Falta de procedimientos para el manejo de información clasificada: error de uso
Esta vulnerabilidad y la amenaza emparejada se corresponden con una política faltante para el manejo de información clasificada. Una organización necesita una política como esa, que describe cómo se maneja la información clasificada y quién tiene acceso a ella en qué circunstancias, etc. Después de que se haya elaborado una política y se haya presentado a todos los empleados, se debe aplicar en diversos grados .
Si no hay una política - > no se puede hacer cumplir - > no puede haber ningún procedimiento - > la información clasificada se manejará mal = > por ejemplo: los empleados no destruyen archivos secretos antes de tirarlos.
(Puede encontrar todo esto en el capítulo 8.2 de la norma ISO / IEC 27002)
Entonces, ¿cómo describe el riesgo al final?
Exactamente como usted describiría cualquier otro riesgo. La única diferencia es que esta es mucho más impactante. Simplemente siga el proceso de evaluación de riesgos en ISO / IEC 27005 e imagine una organización que no tiene una política de seguridad.
Todo está en las normas, solo tienes que mirar saber dónde.