La gestión del riesgo en seguridad de la información exige una comprensión clara de los diferentes tipos de amenazas que pueden afectar a los activos de una organización. La norma ISO/IEC 27005, orientada específicamente a la gestión de riesgos dentro de un Sistema de Gestión de Seguridad de la Información (SGSI), presenta en su Anexo C una clasificación formal de amenazas que sirve como guía para la identificación y evaluación de riesgos.
Este marco proporciona una categorización amplia que abarca fenómenos naturales, fallas técnicas, errores humanos y actos malintencionados. A continuación, se presenta una explicación detallada y fundamentada de cada tipo de amenaza tal como se describe en el estándar.
Daño físico
Esta categoría abarca cualquier evento que cause destrucción, deterioro o pérdida de disponibilidad de los activos físicos. Incluye situaciones que comprometen directamente la infraestructura tecnológica o documental.
Amenazas principales:
- Fuego
- Daño por agua
Estos eventos pueden causar pérdidas irreversibles de equipos, afectar instalaciones críticas o provocar interrupciones prolongadas en los servicios de TI.
Eventos naturales
Los eventos naturales representan amenazas ajenas al control humano que pueden alterar la operatividad institucional o dañar recursos críticos.
Amenazas incluidas:
- Fenómeno volcánico
- Inundación
Su impacto puede ser significativo, especialmente en organizaciones ubicadas en zonas geográficas vulnerables a este tipo de fenómenos.
Pérdida de servicios esenciales
Los servicios que soportan el funcionamiento tecnológico y operativo son fundamentales para garantizar la continuidad de las operaciones. La pérdida de estos servicios genera interrupciones que afectan tanto la disponibilidad como la integridad de la información.
Amenazas asociadas:
- Falla del aire acondicionado o del sistema de suministro de agua
- Pérdida de suministro de energía
Este tipo de amenazas puede originar sobrecalentamiento de equipos, cortes abruptos de operación o daños por falta de condiciones ambientales adecuadas.
Perturbación debido a la radiación
Ciertos entornos presentan riesgos relacionados con radiación que puede interferir con equipos electrónicos o afectar su funcionamiento.
Amenazas descritas en la norma:
- Radiación electromagnética
- Radiación térmica
Estas perturbaciones pueden generar fallos inesperados, interrupciones o degradación del desempeño de los sistemas.
Compromiso de la información
Esta categoría agrupa acciones que afectan la confidencialidad, integridad o disponibilidad de la información por manipulación no autorizada o pérdida de control sobre los activos.
Amenazas especificadas:
- Manipulación del hardware
- Robo de documentos o medios
Estas amenazas pueden resultar en fuga de información, alteración de registros o pérdida de evidencia documental.
Fallas técnicas
Las organizaciones dependen de sistemas, dispositivos y aplicaciones para operar. Cuando estos elementos fallan por razones técnicas, la continuidad y la seguridad de la información pueden verse afectadas.
Amenazas incluidas:
- Falla del equipo
- Mal funcionamiento del software
Estas fallas pueden generar pérdida de datos, indisponibilidad de servicios o interrupción de procesos críticos.
Acciones no autorizadas
Abarca actividades realizadas sin autorización, intencionales o no, que impactan negativamente los activos de la organización.
Amenazas destacadas:
- Uso no autorizado del equipo
- Corrupción de datos
Este tipo de amenazas puede producir daños operativos, pérdida de datos o acceso indebido a sistemas sensibles.
Compromiso de funciones
La norma considera que los errores humanos o la mala ejecución de procedimientos pueden comprometer la correcta operación de los controles o sistemas.
Amenazas identificadas:
- Error en el uso
- Falsificación de derechos
Estas amenazas pueden permitir accesos indebidos, inconsistencias operativas o ejecución incorrecta de funciones críticas.
La clasificación de amenazas del Anexo C de ISO/IEC 27005 constituye una referencia esencial para cualquier organización que busque fortalecer su proceso de gestión de riesgos. Comprender la naturaleza de cada categoría permite identificar escenarios reales, asignar controles apropiados y reducir la probabilidad de incidentes de seguridad. Este marco proporciona un enfoque sistemático, alineado con estándares internacionales, que facilita la toma de decisiones informadas y mejora la resiliencia institucional frente a eventos adversos.
