La evaluación y tratamiento de riesgos en ISO 27001 es un punto imprescindible para implantar un sistema de gestión de seguridad de la información. Forma parte del corazón de este estándar internacional, pero conseguir que esa tarea sea efectiva requiere conocer y aplicar correctamente el proceso.
Por ello, presentamos 6 pasos básicos para realizar la evaluación y tratamiento de riesgos en ISO 27001 de forma adecuada y siguiendo las buenas prácticas que promueve la norma.
Pasos básicos en la evaluación y tratamiento de riesgos en ISO 27001
ISO 27001 es un estándar que insta a la organización a identificar los incidentes que pueden ocurrir y que pueden representar un riesgo para la seguridad de la información. Además, la organización debe implementar acciones adecuadas para evitarlos, una vez se ha establecido la importancia de cada uno de los eventos.
Para llevar a cabo esta tarea es de gran utilidad recurrir a los 6 pasos que proponemos a continuación:
1. Establecer un marco de gestión de riesgos
Se trata de definir las reglas que regirán la gestión de riesgos. Se determina, entre otras cuestiones, quiénes serán los responsables de las tareas de gestión, los métodos de estimación del impacto y la probabilidad de ocurrencia de los posibles riesgos.
En este sentido, una metodología de evaluación de riesgos debe abordar cuatro temas:
- Cómo serán los criterios de seguridad.
- Qué escala de riesgo se empleará.
- Cuál es el apetito de riesgo de la organización.
- La evaluación de riesgos basada en activos.
2. Identificar los riesgos
La identificación de los riesgos que pueden afectar la confidencialidad, integridad y disponibilidad de la información, es la tarea más larga del proceso de evaluación y tratamiento de riesgos en ISO 27001. Se recomienda optar por un proceso de evaluación de riesgos basado en activos.
Desarrollar una lista de activos de información es un buen punto de partida. Será más fácil comenzar la labor a partir de una lista existente de copias impresas de información, archivos electrónicos, dispositivos móviles e intangibles, etc.
3. Analizar los riesgos
En primer lugar se han de establecer las amenazas y debilidades de cada activo. Por ejemplo, la amenaza puede ser “el robo de un dispositivo móvil” y la debilidad asociada es que “no existe una política establecida con respecto al uso tales dispositivos”. Lo siguiente es asignar un impacto y un valor de probabilidad de acuerdo con los criterios que se hayan establecido en el paso 1.
La #EvaluaciónYTratamientoRiesgos en #ISO 27001 basados en buenas prácticas de seguridad se realiza en 6 pasos que conocemos hoy. Share on X4. Evaluar los riesgos
Un siguiente paso es la evaluación. En ella, se deberá medir cada uno de los riesgos frente a sus niveles predeterminados de aceptabilidad. Tras eso, se determinará qué riesgos serán abordados y se priorizará en qué orden.
5. Seleccionar opciones de tratamiento de riesgo
En este punto, retomamos las cuatro opciones de la gestión de riesgos clásica, utilizada en gestión de la calidad, de la seguridad y salud en el trabajo o del medio ambiente:
- Evitar el riesgo eliminándolo por completo.
- Modificar el riesgo, poniendo en marcha controles de seguridad.
- Compartir el riesgo o trasladarlo a un tercero.
- Retener el riesgo, solo si se trata de un nivel aceptable.
6. Compilar informes de riesgos
La norma ISO 27001 requiere que la organización establezca un conjunto de informes sobre la evaluación de riesgos con fines de auditoría y certificación. Para cumplir con ese punto, dos informes resultan imprescindibles:
- Declaración de aplicabilidad: su propósito es crear una lista de verificación según lo recomendado por el Anexo A de ISO 27001. Además, con ella se pretende obtener documentación sobre si se ha establecido el control, si ha sido implementado o no y una justificación para su inclusión o exclusión.
- Plan de tratamiento de riesgos: describe cómo la organización planea gestionar los riesgos identificados en la evaluación de riesgos.
Finalmente, y como colofón a esta ardua tarea, la organización implementa el Plan de Tratamiento de Riesgos, que es, en resumen, el momento en que se pasa de la teoría a la práctica. Es aquí donde comprobamos que lo que hicimos sobre el papel, en verdad funciona en la realidad. Por supuesto, es probable que sean necesarios algunos ajustes, antes de iniciar la redacción del documento final.
Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013
La evaluación y tratamiento de riesgos en ISO 27001 es un punto fundamental de la norma que será estudiado junto a todos los demás en el Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013. Tras su realización un alumno será capaz de implementar y auditar un SGSI en cualquier tipo de organización.
No dude en convertirse en un experto en seguridad de la información matriculándose en este curso formativo aquí.