Per a poder determinar les mesures de protecció de la informació, primer s’han d’estudiar i identificar les vulnerabilitats, les amenaces i els riscos del nostre sistema.
Vulnerabilitat
Debilitat del sistema que, en determinades circumstàncies, pot arribar a afectar la confidencialitat, disponibilitat i integritat de la informació.
[ISO/IEC 13335-1:2004]
Amenaça
Qualsevol agent o acció que, aprofitant-se d’una vulnerabilitat, puga desencadenar una pèrdua o dany en un actiu d’informació.
[ISO/IEC 13335-1:2004]
Risc
Possibilitat que una amenaça concreta puga explotar una vulnerabilitat i causar una pèrdua o dany en un actiu d’informació. El risc indica la probabilitat que ocórrega un incident i la gravetat de les conseqüències.
[ISO Guia 73:2002]
En l’esquema següent es mostra un exemple de vulnerabilitat, amenaça i risc que, encara que és molt senzill i descontextualitzat de la gestió de la informació, il·lustra molt clarament el significat d’aquests conceptes.
Podem ampliar l’esquema anterior amb aquest altre que el completa amb la introducció de més conceptes clau per a la seguretat de la informació:
La seua lectura es podria fer així:
- Les amenaces aprofiten les vulnerabilitats del sistema que posa en perill la informació, l’actiu de més valor d’una organització, de manera que augmenta el risc, és a dir, la probabilitat i l’abast d’una pèrdua o robatori de dades que pot afectar altres aspectes com la reputació, el ritme de l’activitat, la qualitat del treball o el compliment normatiu.
- L’estudi dels riscos sobre la informació marcarà les mesures de seguretat a aplicar que imposaran una sèrie de controls sobre la seua implantació i l’activitat per protegir-la de les amenaces reduint, així, el risc.
Pots trobar una versió animada d’esta imatge en https://www.iso27000.es/sgsi.html.