Inteligencia Artificial aplicada a la

gestión de riesgo para ISO 27001

• ISO 27001
ISO/IEC 27001 es un estándar para la seguridad de la información. Especifica los requisitos necesarios para
establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI).
• Gestión de riesgo
La gestión de riesgo se divide en dos partes fundamentales que son la evaluación y tratamiento de riesgo. La
Evaluación del Riesgo (a menudo llamado Análisis de Riesgo) es probablemente la parte más compleja de la
implementación ISO 27001; pero a la vez la evaluación (y tratamiento) del riesgo es el paso más importante al
comienzo de su proyecto de seguridad de la información – establece las bases para la seguridad de la
información en una compañía.
ISO 27001 permite encontrar cuáles incidentes pueden ocurrir (evaluando los riesgos) y encontrar las maneras
más apropiadas para evitar dichos incidentes (tratamiento de los riesgos). No sólo eso, también tiene que
evaluar la importancia de cada riesgo para que pueda enfocarse en los más importantes.
6 pasos básicos para la gestión de riesgo
1. Metodología de evaluación del riesgo: Define las reglas para llevar a cabo la gestión de riesgo y que realice
de manera uniforme en toda la organización. Por lo tanto, usted necesita definir si quiere una evaluación
cualitativa o cuantitativa del riesgo, cuáles escalas se usarán para la evaluación cualitativa, cuál será el nivel
aceptable de riesgo, etc.
2. Implementación de evaluación del riesgo: Inicia al listar todos sus recursos, luego las amenazas y
vulnerabilidades relacionadas con esos recursos, evaluar el impacto y probabilidad de ocurrencia para cada
combinación de recursos/amenazas/vulnerabilidades y finalmente calcular el nivel de riesgo.
3. Implementación del tratamiento del riesgo: Por supuesto, no todos los riesgos tienen el mismo origen por lo
tanto debe enfocarse en los más importantes, llamados riesgos “no aceptables”. Existen cuatro opciones que
usted puede escoger para mitigar cada riesgo “no aceptable”:
• Aplicar controles de seguridad del Anexo A para disminuir el riesgo
• Transfiera el riesgo a otras personas – e. a la compañía aseguradora comprando una póliza de seguros.
• Evite el riesgo al detener la ejecución de la actividad que es muy riesgosa, o al hacerla de una manera
completamente diferente.
• Acepte el riesgo – si, por ejemplo, el costo de la atenuación del riesgo es mayor que el daño en sí.
4. Reporte de evaluación del riesgo del SGSI: Requiere
documentar todo lo que ha hecho hasta ahora.
5. Declaración de aplicabilidad: Este documento
realmente muestra el perfil de seguridad de una
compañía – basado en los resultados del tratamiento de
riesgos usted necesita hacer una lista de todos los
controles que ha implementado, por qué se implementó
y cómo se hizo.
6. Plan para el tratamiento de riesgos
Definir exactamente quién va a implementar cada
control, cuándo, con cuál presupuesto, etc
• Participación de la inteligencia artificial
La IA provee herramientas y técnicas que permiten mitigar riesgos dentro del plan de tratamiento de riesgos.
Ataques cibernéticos (defensa contra hackers) y errores / fallas de software
La necesidad de sistemas que puedan buscar y reparar estos errores y vulnerabilidades, así como defenderse
contra ataques entrantes, ha crecido en los últimos años.
• ForAllSecure , es el "primer sistema extremo a extremo para la generación de exploits totalmente
automática " puede encontrar y determinar si el error es explotable. Los errores en el software que pueden
causar resultados inesperados, comportamiento o posibles fallas de seguridad.
• Desde el punto de vista predictivo, el Laboratorio de Inteligencia Artificial e Informática (CSAIL) del MIT y la
startup de aprendizaje automático PatternEx recientemente desarrollaron una plataforma de inteligencia
artificial llamada AI2 que afirman predice los ciberataques significativamente mejor que los sistemas
existentes mediante la incorporación continua de aportes de expertos humanos.
• El sistema AI2 primero realiza un escaneo automático del contenido con técnicas de aprendizaje
automático(machine learning) y luego informa los resultados a los analistas humanos que tienen que
discriminar los eventos relacionados con los ciberataques.