Para poder determinar las medidas de protección de la información, primero se deben estudiar e identificar las vulnerabilidades, las amenazas y los riesgos de nuestro sistema.
Vulnerabilidad
Debilidad del sistema que, en determinadas circunstancias, puede llegar a afectar a la confidencialidad, disponibilidad e integridad de la información
[ISO/IEC 13335-1:2004]
Amenaza
Cualquier agente o acción que, aprovechándose de una vulnerabilidad, pueda desencadenar una para causar una pérdida o daño en un activo de información
[ISO/IEC 13335-1:2004]
Riesgo
Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. El riesgo indica la probabilidad de que ocurra un incidente y la gravedad de las consecuencias
[ISO Guía 73:2002]
En el siguiente esquema se muestra un ejemplo de vulnerabilidad, amenaza y riesgo que, aunque es muy sencillo y descontextualizado de la gestión de la información, muestra muy claramente el significado de estos conceptos.
Podemos ampliar el esquema anterior con este otro que lo completa con la introducción de introduce más conceptos clave para la seguridad de la información:
Su lectura podría hacerse así:
- Las amenazas aprovechan las vulnerabilidades del sistema que pone en peligro la información, el activo de más valor de una organización, de manera que aumenta el riesgo, es decir, la probabilidad y el alcance de una pérdida o robo de datos que puede afectar a otros aspectos como la reputación, el ritmo de la actividad, la calidad de trabajo o el cumplimiento normativo.
- El estudio de los riesgos sobre la información marcará las medidas de seguridad a aplicar que impondrán una serie de controles sobre su implantación y la actividad para protegerla de las amenazas reduciendo, así, el riesgo.
Puedes encontrar una versión animada de esta imagen en https://www.iso27000.es/sgsi.html.