En uno de nuestros contenidos recientes, hablamos de los 6 pasos básicos en la gestión de riesgos en ISO 27001. En el cuarto paso de dicho proceso, nos referíamos a la evaluación de los riesgos y comentábamos que “se deberá medir cada uno de los riesgos frente a sus niveles predeterminados de aceptabilidad”. Pues bien, para abordar ese punto, es necesario elegir un método de evaluación. Y eso nos lleva a tener que escribir la metodología de evaluación de riesgos en ISO 27001 que decidimos emplear.
En esta ocasión, nos ocupamos de este aspecto y exponemos la importancia de este documento y cuál es la mejor manera de elaborarlo.
¿Por qué escribir la metodología de evaluación de riesgos?
ISO 27001 no prescribe una determinada metodología porque cada organización tiene sus propios requisitos y preferencias. Pero la norma sí solicita que se documente todo el proceso de evaluación de riesgos en su cláusula 6.1.2. Es aquí cuando las organizaciones suelen cometer un error común: implementar la evaluación de riesgos sin escribir la metodología de evaluación de riesgos. En otras palabras, se realiza la tarea principal sin normas claras sobre cómo proceder y se documenta con posterioridad junto con los resultados.
El objetivo principal de establecer previamente y por escrito una metodología de evaluación de riesgos ISO 27001 es asegurar que todos en la organización estén sincronizados bajo los mismos criterios en lo relacionado con la medición y evaluación de riesgos. Por ejemplo, en ese documento se indica si la evaluación es cualitativa o cuantitativa.
Si una organización olvida o decide no escribir la metodología de evaluación de riesgos, es muy probable que se realice de maneras diferentes en cada área. Es posible que en una determinada área se realicen numerosas entrevistas con el personal y se empleen datos históricos, en tanto que en otra simplemente se aporten valores en una escala según el criterio experto del responsable.
Esto hace que los resultados, en general, sean inútiles, porque no es posible compararlos y estandarizarlos sin realizar una operación de retrabajo mucho más compleja y dispendiosa de lo que representa escribir la metodología de evaluación de riesgos.
La metodología también describe cómo se entienden ciertos términos en el contexto específico de esa organización particular:
- Criterios básicos de seguridad: el conjunto mínimo de defensas para afrontar los riesgos.
- Escala de riesgos: una forma universal de cuantificar el riesgo.
- Apetito de riesgo: el nivel de riesgo que la organización está dispuesta a aceptar.
- Gestión de riesgos basada en escenarios o activos: las estrategias para reducir el perjuicio ocasionado por ciertos incidentes o que pueden ser causados en ciertas partes de la organización.
Estas especificaciones resultan también imprescindibles para tomar decisiones según la base que se ha establecido en la organización y de modo homogéneo en toda ella. Estas son las razones fundamentales por las que primero se ha de contar con un documento en ISO 27001 que defina la metodología y luego realizar la evaluación.
Escribir la metodología de #EvaluaciónRiesgos es una de las tareas fundamentales en #ISO27001. Hoy aprendemos cómo hacerlo. Share on X¿Cómo escribir la metodología de evaluación de riesgos?
En realidad, para establecer la metodología más oportuna es necesario partir de conocimientos profundos de ISO 27001, los riesgos para la seguridad de la información, las metodologías posibles y la propia organización.
El documento en el que se plasme dicha metodología debe contener los siguientes puntos y debe decidir cómo los realizará:
- Identificar los riesgos en la organización.
- Definir quién es el propietario del riesgo.
- Evaluar el nivel de impacto y la probabilidad.
- Calcular el nivel de riesgos.
- Definir qué riesgos son aceptables y cuáles no.
Aunque en un primer momento tomar estas decisiones parece algo muy complejo, en la práctica, la formación y el conocimiento de la norma allanan el trabajo.
Diplomado de Seguridad de la Información con la ISO/IEC 27001:2013
La evaluación correcta de los riesgos es una necesidad fundamental para proteger la información, un activo crítico para cualquier organización. Por ello, la seguridad de la información es una de las preocupaciones constantes en el mundo corporativo actual a nivel global.
El Diplomado en Seguridad de la Información con la ISO/IEC 27001:2013 es un programa de formación de excelencia, que permite a sus estudiantes obtener las habilidades, los conocimientos y las competencias necesarias para implementar, mantener y auditar un sistema de gestión de seguridad de la información, en conformidad con ISO 27001:2013.
Consiga más información sobre este diplomado y prepárese así para afrontar con solvencia cada paso en la protección de la información en su empresa.