ISO 27001/ISO 22301 Base de conocimientos

'. get_the_author_meta('first_name'). ' '.get_the_author_meta('last_name').'

Evaluación y Tratamiento del Riesgo en ISO 27001 – 6 pasos básicos

La Evaluación del Riesgo (a menudo llamado Análisis de Riesgo) es probablemente la parte más compleja de la implementación ISO 27001; pero a la vez la evaluación (y tratamiento) del riesgo es el paso más importante al comienzo de su proyecto de seguridad de la información – establece las bases para la seguridad de la información en su compañía.

La pregunta es – ¿por qué es tan importante? La respuesta es algo simple pero no entendida por muchas personas: la filosofía principal de ISO 27001 es encontrar cuáles incidentes pueden ocurrir (p.e. evaluando los riesgos) y encontrar las maneras más apropiadas para evitar dichos incidentes (p.e. tratamiento de los riesgos). No sólo eso, también tiene que evaluar la importancia de cada riesgo para que pueda enfocarse en los más importantes.

A pesar que la evaluación y tratamiento de riesgos (gestión de riesgo) es un trabajo complejo, a menudo se tejen mitos innecesarios a su alrededor. Estos 6 pasos básicos deben indicarle lo que debe hacerse.

1. Metodología de evaluación de riesgos ISO 27001

blogpost-banner-27001-premium-es

Este es el primer paso en su viaje hacia la gestión de riesgo. Usted necesita definir las reglas para llevar a cabo la gestión de riesgo porque usted querrá que toda la organización lo haga de la misma manera – el principal problema con la evaluación del riesgo se presenta si diferentes partes de la organización lo ejecutan de maneras diferentes. Por lo tanto, usted necesita definir si quiere una evaluación cualitativa o cuantitativa del riesgo, cuáles escalas se usarán para la evaluación cualitativa, cuál será el nivel aceptable de riesgo, etc.

2. Implementación de evaluación del riesgo

Una vez que conoce las reglas, puede empezar encontrando cuáles problemas potenciales pueden ocurrirle – usted necesita listar todos sus recursos, luego las amenazas y vulnerabilidades relacionadas con esos recursos, evaluar el impacto y probabilidad de ocurrencia para cada combinación de recursos/amenazas/vulnerabilidades y finalmente calcular el nivel de riesgo.

En mi experiencia, las compañías normalmente están conscientes sólo del 30% de sus riesgos. Por lo tanto, usted probablemente encontrará este ejercicio algo revelador – cuando termine usted apreciará el esfuerzo que llevó a cabo.

3. Implementación del tratamiento del riesgo

Por supuesto, no todos los riesgos tienen el mismo origen – usted debe enfocarse en los más importantes, llamados riesgos “no aceptables”.

Existen cuatro opciones que usted puede escoger para mitigar cada riesgo “no aceptable”:

  1. Aplicar controles de seguridad del Anexo A para disminuir el riesgo – lea este artículo Resumen del Anexo A de la Norma ISO 27001:2013.
  2. Transfiera el riesgo a otras personas – e. a la compañía aseguradora comprando una póliza de seguros.
  3. Evite el riesgo al detener la ejecución de la actividad que es muy riesgosa, o al hacerla de una manera completamente diferente.
  4. Acepte el riesgo – si, por ejemplo, el costo de la atenuación del riesgo es mayor que el daño en sí.

Aquí es donde usted necesita ser creativo – cómo disminuir el riesgo con la mínima inversión. Sería más fácil si su presupuesto fuese ilimitado, pero eso nunca va a pasar. Y debo decirle que desafortunadamente la dirección está en lo cierto – es posible alcanzar el mismo resultado con menos dinero – usted sólo debe averiguar cómo.

4. Reporte de evaluación del riesgo del SGSI

Al contrario de los pasos anteriores, este es algo fastidioso – usted necesita documentar todo lo que ha hecho hasta ahora. No sólo para los auditores, ya que usted mismo podría querer verificar los resultados en uno o dos años.

5. Declaración de aplicabilidad

Este documento realmente muestra el perfil de seguridad de su compañía – basado en los resultados del tratamiento de riesgos usted necesita hacer una lista de todos los controles que ha implementado, por qué los implementó y cómo lo hizo. Este documento también es muy importante porque el auditor de certificación lo usará como su guía principal durante la auditoría.

Para detalles acerca de este documento, lea el artículo La importancia de la Declaración de aplicabilidad para la norma ISO 27001.

6. Plan para el tratamiento de riesgos

Este es el paso donde tiene que moverse de la teoría a la práctica. Seamos francos – hasta ahora este trabajo de evaluación del riesgo había sido puramente teórico, pero ahora es tiempo de mostrar resultados concretos.

Este es el propósito del Plan de Tratamiento de Riesgos – definir exactamente quién va a implementar cada control, cuándo, con cuál presupuesto, etc. Yo prefiero llamar a este documento “Plan de Implementación” o “Plan de Acción”, pero sigamos con la terminología usada en ISO 27001.

Una vez que haya escrito este documento, es crucial que obtenga la aprobación de la dirección porque llevará tiempo y esfuerzo considerables (y dinero) para implementar todos los controles que usted planificó acá. Y sin su compromiso usted no obtendrá recursos.

Y eso es todo – usted empezó su viaje desde no saber cómo establecer la seguridad de la información hasta tener una clara imagen de lo que necesita para la implementación. El punto es – ISO 27001 le obliga a hacer ese viaje de manera sistemática.

P.D. ISO 27005 – ¿cómo puede ayudarle?

ISO/IEC 27005 es una norma dedicada solamente a la gestión de riesgo de seguridad de la información – es muy útil si usted quiere tener una visión más profunda de la evaluación y tratamiento del riesgo en seguridad de la información – eso es, si usted quiere trabajar como consultor o como Gerente de Seguridad de la Información o de Riesgo, a tiempo completo. Sin embargo, si usted quiere hacer una evaluación de riesgo una vez al año, esta norma probablemente no sea para usted.

Descargue este material gratuito para obtener más información: Diagram of ISO 27001:2013 Risk Assessment and Treatment process.

Si le gustó este artículo, suscríbase para recibir actualizaciones.

Amplíe su conocimiento con nuestros recursos gratuitos sobre las normas ISO 27001 / ISO 22301.

Puede darse de baja en cualquier momento.

Consulte este Aviso de Privacidad para obtener más información sobre qué datos personales recopilamos, por qué los necesitamos, qué hacemos con ellos, durante cuánto tiempo los guardamos y cuáles son sus derechos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

ASESORÍA GRATUITA EN ISO 27001/22301
Dejan Kosutic
Especialista líder en ISO 27001/ISO 22301, Advisera

OBTENGA ASESORÍA GRATUITA

PRÓXIMO SEMINARIO WEB GRATUITO
Fundamentos básicos de la evaluación y tratamiento de riesgos según ISO 27001
Jueves 23 de mayo de 2019

NUESTROS CLIENTES

NUESTROS SOCIOS

  • Advisera es un Proveedor TPECS Certificado Global Ejemplar para IS, QM, EM, TL y las Unidades de Competencia AU.
  • ITIL® es una marca registrada de AXELOS Limited. Usada bajo licencia de AXELOS Limited. Todos los derechos reservados.
  • DNV GL Business Assurance es uno de los principales proveedores de certificaciones de sistemas de gestión acreditadas.