Propietarios de riesgos es un concepto novedoso que incorporó la edición 2013 de la norma ISO 27001. Novedoso y a la vez polémico, ya que generó confusión entre los profesionales de la seguridad de la información, pues parece que reemplaza al antiguo “propietarios de activos” y persiste la duda sobre si este último sigue siendo válido o no.
¿Quiénes son los propietarios de riesgos en ISO 27001:2013?, ¿reemplazan a los “propietarios de activos” presentes en la revisión 2005 de la norma? Estas son las preguntas que respondemos en nuestra entrada de hoy.
¿Sigue siendo válido el propietario del activo?
Sí. Este es el primer concepto que debe quedar claro. Tanto en la comprobación 2005 de ISO 27001 (y anteriores), como en la nueva ISO 27001:2013, aparece el concepto de “propietario de activos” como un control incluido en el Anexo A.
La definición es muy sencilla: se trata de determinar a la persona que es responsable de cada activo en la organización. Recordemos que los activos para ISO 27001 van más allá de la información. Hacen referencia al software, hardware, las personas, los proveedores de servicios, las instalaciones, e incluso el papel.
Para ISO 27001 la figura del “propietario de activos” es muy importante. Y es natural que así sea, después de todo, ¿quién cuidaría de un activo si no tiene un responsable? El propietario del activo asegura que ese activo bajo su responsabilidad este protegido y seguro.
¿Y los propietarios de riesgos?
En este punto es en donde existe una diferencia conceptual entre la versión 2005 y la edición 2013 de ISO 27001. Pero para entenderla debemos hacer una revisión histórica del tema y sus variaciones en estas dos últimas revisiones.
La versión 2005 requiere identificar a los propietarios de activos como parte del proceso de evaluación de riesgos, y también como un control contenido en el Anexo A. Pero ISO 27001:2013 no exige este requisito. Tan solo lo mantiene como control en el Anexo A. De hecho, la edición 2013 ya no requiere la evaluación de riesgos basada en activos y deja libertad a la organización para que realice evaluaciones de riesgo utilizando los métodos que crea convenientes.
Esto no significa que algunas organizaciones no usen la evaluación de riesgos basada en activos, sobre todo si han optado por aplicar los controles A.8.1.1 y A.8.1.2, contenidos en el Anexo A.
Entonces, ¿quiénes son los propietarios de riesgos en ISO 27001:2013? La norma define textualmente a los propietarios de riesgos como “las personas o entidades que tienen la responsabilidad y la autoridad para gestionar un riesgo”. En palabras un poco más sencillas, es una persona que quiere y puede gestionar y resolver un riesgo.
Veamos un ejemplo: un servidor es un activo para ISO 27001. El administrador de TI puede ser el propietario de este activo, en tanto que su superior, jefe del departamento de TI, puede ser uno de los propietarios de riesgos asociado con ese servidor. El concepto de propietarios de riesgos aparece como una necesidad de diferenciar al propietario del activo sin autoridad, de aquel que, aunque no sea propietario del activo, tiene la autoridad suficiente para gestionar un riesgo inherente al activo en cuestión.
Otra interesante conclusión es que los propietarios del activo, también pueden ser propietarios del riesgo, eventualmente. Una condición no excluye a la otra.
#ISO27001 incorpora un concepto nuevo. #PropietariosRiesgo. Hoy conocemos cuál es su diferencia con los propietarios de activos. Share on XDiplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013
Una forma de aprender a identificar los propietarios de riesgos en ISO 27001, es participando en el Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013. Este programa de formación de la Escuela Europea de Excelencia aporta a sus alumnos todas las herramientas y competencias necesarias para implementar, mantener y auditar un sistema de gestión de seguridad de la información en cualquier tipo de organización.
Si estás interesado en este programa de alta calidad, puedes inscribirte aquí.