La gestión de riesgos parece estar diseñada para identificar, evaluar y tratar los efectos negativos de las amenazas. Este enfoque, erróneo, ha llevado a que las oportunidades en ISO 27001 no sean consideradas y, por ello, desaprovechadas. De hecho, pasar por alto las oportunidades es un comportamiento usual no solo en el área de seguridad de la información.
En este caso, nos ocupamos específicamente de las oportunidades en ISO 27001 y de la forma adecuada de considerarlas y tratarlas, a la luz de la norma internacional sobre gestión de riesgos ISO 31000.
Aprovechar las oportunidades en ISO 27001
Si hablamos de riesgos, pensamos automáticamente en lo que puede salir mal y afecta negativamente a la organización. Pero los riesgos, aunque parezca contradictorio, pueden ofrecer condiciones propicias para obtener beneficios, si se aprovechan a tiempo.
En concreto, ISO 27001 no contempla las oportunidades de manera explícita. La cláusula 6.1.3 textualmente solicita que “la organización defina y aplique un proceso de gestión de riesgos de la seguridad de la información”. Entre otros requisitos, pide que se seleccionen opciones apropiadas de gestión de riesgos de seguridad de la información y que se tengan en cuenta los resultados de la valoración de riesgos.
Si remitimos a ISO 27005 (Recomendaciones para la Gestión de Riesgos en Sistemas de Gestión de Seguridad de la Información), encontramos las cuatro opciones típicas sobre el tratamiento de riesgos: eliminar, mitigar, compartir o tolerar.
Así, las oportunidades en ISO 27001 no son consideradas particularmente, lo cual no significa que la organización no pueda hacerlo por iniciativa propia o considerando cómo debe ser la gestión de riesgos.
Como ni ISO 27001 ni su norma complementaria ISO 27005 ofrecen una guía para aprovechar oportunidades, podemos ir a la norma internacional sobre gestión de riesgos, ISO 31000, para encontrar allí directrices útiles para que una organización pueda considerar, tratar y aprovechar las oportunidades.
Estas directrices incluyen:
- Aumentar la probabilidad de ocurrencia: es en esencia el proceso inverso a las acciones tomadas para mitigar o eliminar los riesgos. El objetivo es tomar las medidas necesarias para aumentar la probabilidad de ocurrencia del riesgo, porque los beneficios que se pueden aprovechar son absolutamente más beneficiosos que el coste del impacto negativo.
- Asegurar la ocurrencia del riesgo: el objetivo aquí es hacer que el riesgo ocurra. La organización emprenderá todas las acciones necesarias para asegurar la ocurrencia del evento generador del riesgo, de forma controlada, lo que permitirá aprovechar al máximo los beneficios.
- Compartir las oportunidades: es probable que una organización identifique oportunidades de la ocurrencia de un riesgo, pero acepte que no tiene la capacidad financiera, técnica o de recursos humanos para aprovecharla. Una buena opción es buscar un socio estratégico que asuma una parte o la totalidad de los recursos necesarios para abordar la oportunidad.
- No hacer nada: también es una opción. La organización puede considerar que la oportunidad no es tan clara, que requiere un esfuerzo desmesurado, o que el riesgo negativo sí puede resultar lesivo.
¿Cuándo es oportuno abordar las oportunidades?
Las oportunidades deben aprovecharse cuando los beneficios son significativamente mayores en comparación con el coste de los efectos negativos causados por la ocurrencia del riesgo. Escoger la opción de aprovechar las oportunidades no deja de ser un riesgo. Pero es un riesgo controlado.
En el área de gestión de riesgos se ha difundido un postulado: “esperar lo mejor, pero prepararnos para lo peor”. Cuando se trata de oportunidades en ISO 27001 el enfoque es otro “esperar lo mejor, hacer lo posible para que ocurra, y prepararnos para ello”.
Experto en Auditoría Interna ISO/IEC 27001:2013 SGSI + Método de Auditorías Remotas de Sistemas de Gestión
La gestión de seguridad de la información requiere contar con profesionales altamente cualificados que tengan un conocimiento profundo de la norma ISO 27001 y que cuenten con las habilidades y competencias necesarias para implementar, mantener y auditar ese sistema de gestión.
Además, cuando se trata de aprovechar oportunidades, un experto debe actualizarse y evolucionar con el entorno, con lo que formarse en nuevas fórmulas como las auditorías remotas es esencial.
Todo esto es posible con el Pack de cursos Experto en Auditoría Interna ISO/IEC 27001:2013 + Método de Auditorías Remotas de Sistemas de Gestión. Se trata de una gran oportunidad que puedes aprovechar ahora sin tener que asumir ningún riesgo.
Ya puedes convertirte en un experto en seguridad de la información.