-

 

ISO 27001: Evaluación y tratamiento de riesgos en 6 pasos




ISO 27001

¿En qué consiste la norma ISO 27001?”, la norma ISO 27001 sienta las bases en materia de seguridad de la información en las organizaciones.

Una de las áreas dentro de esta norma que implica mayor complejidad de aplicación, es la correspondiente a la evaluación y tratamiento de riesgos.

Sin embargo, al mismo tiempo, es justamente esta parte de la norma la de mayor importancia a la hora de poner en marcha el mecanismo de seguridad de la información en la organización.

Esta parte de la norma es la más importante porque es la parte en la que se desarrolla la filosofía principal de la ISO 27001. Esta filosofía consiste en analizar los incidentes que se pudieran producir y posteriormente buscar las posibles soluciones para tratar de que los mismos no se repitan.

Dada la complejidad que supone la evaluación y tratamiento de riesgos, vamos a tratar a continuación de ofrecer un poco de claridad sobre qué hacer en 6 pasos para tal gestión de riesgos:

Evaluación y tratamiento de riesgos en ISO 27001

1.- Metodología para la evaluación de riesgos

El primer paso para llevar a cabo un proceso de gestión del riesgo en una organización es definir la metodología que se va a seguir. El objetivo de este primer paso es hacer que todas las partes de la entidad conozcan tal metodología y la gestión del riesgo se haga de manera homogénea en todas las áreas. Esto implica definir si la evaluación de los riesgos se va a hacer de manera cualitativa o cuantitativa. En caso de hacerlo de la primera forma, hay que definir entonces también la escala a utilizar, así como los niveles a partir de los cuales se consideran un riesgos como aceptable.

Respecto a la clasificación de los riesgos, podemos encontrar más información en el siguiente articulo “ISO 27001: Clasificación de los incidentes”.

2- Implementación de la evaluación de riesgos

Tras el paso anterior, es hora de iniciar el análisis de los posibles problemas que podrían surgir en la organización. Para realizar esta evaluación se debe contabilizar todos los activos que la misma posee, así como las amenazas y debilidades a las que se enfrenta, para a continuación, poder calcular la probabilidad de que suceda cada una de las posibles combinaciones de activos-amenazas- debilidad. Una vez realizado esto, podemos conocer el nivel de riesgo al que se enfrenta cada entidad en concreto.

De media, las organizaciones tan sólo son conscientes de aproximadamente un 30% del riesgo al que se enfrentan, por lo que ,a partir de este paso pueden llegar a conocer hasta un 70% del riesgo del que no son conocedores.

3.- Implementar el tratamiento de riesgos

Una vez evaluados todos los riesgos posibles, es momento de buscar un tratamiento de los mismos.

Evidentemente, todos los riesgos no tienen el mismo nivel de gravedad. Por esta razón, y dado que sería demasiado costoso buscar un tratamiento para todos y cada uno de ellos, nos centraremos en los más importantes, es decir, aquellos que se definen como “ riesgos inaceptables”.

En el tratamiento de riesgos, podemos enumerar cuatro opciones de cara a poder eliminarlos:

  1. 1.Implementar los controles de seguridad que recoge el Anexo A de la norma ISO 27001.
  2. 2. Transferir el riesgo. Esto podría ser, por ejemplo, cuando contratamos una póliza de seguro y transferimos el riesgo a la compañía de seguros que nos la ha vendido.
  3. 3. Evitar el riesgo. Esto se puede conseguir paralizando aquella actividad que supone demasiado nivel de riesgo o haciéndola de una manera diferente.
  4. 4. Aceptar el riesgo en cuestión. Esta opción sería para aquellos casos en lo que el coste de eliminar el riesgo es mayor que el daño que causará.

Este paso reflejará la mayor o menor capacidad de la organización para ser creativa pues lo óptimo y eficiente es lograr la mayor reducción posibles de riesgos con una inversión lo menor posible.

4.- Informe de Evaluación de Riesgos

En este paso vamos a documentar todo el análisis realizado en los pasos anteriores, así como los tratamientos que la organización haya considerado más adecuado aplicar.

5.- Elaboración del documento de “Declaración de aplicabilidad”.

La elaboración del documento de Declaración de aplicabilidad de la norma ISO 27001  pone de manifiesto el perfil de seguridad adoptado por la organización en cuestión. Aquí se especifican los resultados obtenidos de los tratamientos contra los riesgos.

Además es un documento que también es importante para el auditor de certificación.

Sobre la importancia de la elaboración de este paso podéis aprender más en el siguiente artículo “La importancia de la Declaración de Aplicabilidad en un SGSI”.

6.- Plan de tratamiento del riesgo

Llegados a este punto, es necesario pasar a la práctica, es decir, vamos a traspasar toda la teoría anterior a la práctica mostrando resultados concretos.

La elaboración del llamado “Plan de tratamiento del riesgo” tiene como objetivo detallar las cosas que va a poner en marcha cada uno de los controles aprobados, el periodo de tiempo en el que se van a aplicar así como el presupuesto que va a suponer.

Este plan necesita tener la aprobación por parte de la Dirección de la organización, ya que la puesta en marcha de todos los controles decididos conlleva unos gastos.

En resumen, con este artículo hemos querido sistematizar los pasos a seguir de cara a configurar en nuestra organización un Sistema de Seguridad de la Información según la ISO 27001 y realizar la evaluación y tratamiento de riesgos. 

Más información sobre los beneficios que aporta a las entidades contar con un Sistema de Seguridad de la Información de acuerdo a la norma ISO 27001 podéis encontrarla en “Norma ISO 27001: beneficios prácticos para tu empresa”.

ISOTools a través de su plataforma tecnológica, permite a las organizaciones automatizar su Sistema de Gestión de la Seguridad de la Información y ayudar con ello a pasar con éxito el proceso de certificación y mantenimiento del SGI.

https://www.nueva-iso-9001-2015.com/6-1-acciones-para-abordar-los-riesgos-y-las-oportunidades/

Comentarios

Publicar un comentario

Entradas populares de este blog

-
Imagen
De Safety I a Safety II: la importancia de cambiar el foco Para dar un verdadero salto en seguridad, es imprescindible que las organizaciones y sus integrantes incorporen una nueva mirada. Por Gonzalo Rossi y Víctor Meliton La evolución hacia una cultura más segura es ya un objetivo irrenunciable para las organizaciones. Sin embargo, no se trata de un camino con resultados inmediatos. Por eso es importante seguir repensando qué cosas nuevas deben hacerse  para que el mantra que muchos recitan,  “safety first” , deje de ser un anhelo  y se vea plasmado en el ADN de la empresa como algo innegociable. Las organizaciones son conscientes de que en el tránsito hacia esa nueva cultura  es fundamental lograr que los avances sean sostenibles . Es decir, que todos los esfuerzos que realizamos para mejorar la seguridad física de las personas sean permanentes y que, cuando aparezcan nuevos incidentes o accidentes, no tengan que ver con situaciones que ya fueron abordadas y resueltas en el pasado.
Leer más
-
Imagen
 Ingeniería de la resiliencia: conceptos básicos del nuevo paradigma en seguridad Los sistemas socio técnicos, que son aquellos que estudian la interacción de las personas con la tecnología en ambientes industriales y analizan sus consecuencias psicológicas y culturales, son cada vez menos lineales y más complejos, por lo que los modelos de análisis de la siniestralidad clásicos, lineales, explican cada vez con menor precisión la realidad. En consecuencia, los métodos y herramientas desarrollados hasta el momento, basados en tales modelos clásicos, no resultan suficientemente útiles en muchas situaciones, que cada vez son más generalizadas.  En este contexto, surge el modelo sistémico de accidentes, que los considera fenómenos emergentes, y la resiliencia como la característica del desempeño que puede ayudar a mejorar la seguridad. El término resiliencia procede del latín “resilio”, que significa volver atrás, volver en un salto, rebotar. El término resiliencia, se origina a principios
Leer más
-
Imagen
Las extrañas profesiones de futuro que tendremos cuando los robots nos quiten el empleo Los robots van a quitar muchos empleos, pero también crearán muchos nuevos. Estos son algunos de los trabajos más extraños que tendrán las personas en un futuro. Los robots van a quitar muchos empleos, pero también crearán muchos nuevos. Estos son algunos de los trabajos más extraños que tendrán las personas en un futuro. No es inusual preguntarse  en qué trabajarán las personas en un futuro , e incluso si los humanos dejarán de trabajar algún día. Que la tecnología va a destruir muchos puestos de empleo no es ningún mito; sustituir a trabajadores por robots no solo ayuda a reducir gastos, también incrementa la productividad. No obstante, si se han exagerado mucho las  consecuencias de la robotización del empleo . Se ha hablado sobre conceder una renta básica universal, u obligar a los robots a pagar impuestos. Sin embargo, fomentar el sedentarismo en la sociedad o ponerle barrer
Leer más