Dejan Kosutic La Evaluación del Riesgo (a menudo llamado Análisis de Riesgo) es probablemente la parte más compleja de la implementación ISO 27001; pero a la vez la evaluación (y tratamiento) del riesgo es el paso más importante al comienzo de su proyecto de seguridad de la información – establece las bases para la seguridad de la información en su compañía.
La pregunta es – ¿por qué es tan importante? La respuesta es algo simple pero no entendida por muchas personas: la filosofía principal de ISO 27001 es encontrar cuáles incidentes pueden ocurrir (p.e. evaluando los riesgos) y encontrar las maneras más apropiadas para evitar dichos incidentes (p.e. tratamiento de los riesgos). No sólo eso, también tiene que evaluar la importancia de cada riesgo para que pueda enfocarse en los más importantes.
A pesar que la evaluación y tratamiento de riesgos (gestión de riesgo) es un trabajo complejo, a menudo se tejen mitos innecesarios a su alrededor. Estos 6 pasos básicos deben indicarle lo que debe hacerse.
1. Metodología de evaluación de riesgos ISO 27001
Este es el primer paso en su viaje hacia la gestión de riesgo. Usted necesita definir las reglas para llevar a cabo la gestión de riesgo porque usted querrá que toda la organización lo haga de la misma manera – el principal problema con la evaluación del riesgo se presenta si diferentes partes de la organización lo ejecutan de maneras diferentes. Por lo tanto, usted necesita definir si quiere una evaluación cualitativa o cuantitativa del riesgo, cuáles escalas se usarán para la evaluación cualitativa, cuál será el nivel aceptable de riesgo, etc.
2. Implementación de evaluación del riesgo
Una vez que conoce las reglas, puede empezar encontrando cuáles problemas potenciales pueden ocurrirle – usted necesita listar todos sus recursos, luego las amenazas y vulnerabilidades relacionadas con esos recursos, evaluar el impacto y probabilidad de ocurrencia para cada combinación de recursos/amenazas/vulnerabilidades y finalmente calcular el nivel de riesgo.
En mi experiencia, las compañías normalmente están conscientes sólo del 30% de sus riesgos. Por lo tanto, usted probablemente encontrará este ejercicio algo revelador – cuando termine usted apreciará el esfuerzo que llevó a cabo.
3. Implementación del tratamiento del riesgo
Por supuesto, no todos los riesgos tienen el mismo origen – usted debe enfocarse en los más importantes, llamados riesgos “no aceptables”.
Existen cuatro opciones que usted puede escoger para mitigar cada riesgo “no aceptable”:
- Aplicar controles de seguridad del Anexo A para disminuir el riesgo – lea este artículo Resumen del Anexo A de la Norma ISO 27001:2013.
- Transfiera el riesgo a otras personas – e. a la compañía aseguradora comprando una póliza de seguros.
- Evite el riesgo al detener la ejecución de la actividad que es muy riesgosa, o al hacerla de una manera completamente diferente.
- Acepte el riesgo – si, por ejemplo, el costo de la atenuación del riesgo es mayor que el daño en sí.
Aquí es donde usted necesita ser creativo – cómo disminuir el riesgo con la mínima inversión. Sería más fácil si su presupuesto fuese ilimitado, pero eso nunca va a pasar. Y debo decirle que desafortunadamente la dirección está en lo cierto – es posible alcanzar el mismo resultado con menos dinero – usted sólo debe averiguar cómo.
4. Reporte de evaluación del riesgo del SGSI
Al contrario de los pasos anteriores, este es algo fastidioso – usted necesita documentar todo lo que ha hecho hasta ahora. No sólo para los auditores, ya que usted mismo podría querer verificar los resultados en uno o dos años.
5. Declaración de aplicabilidad
Este documento realmente muestra el perfil de seguridad de su compañía – basado en los resultados del tratamiento de riesgos usted necesita hacer una lista de todos los controles que ha implementado, por qué los implementó y cómo lo hizo. Este documento también es muy importante porque el auditor de certificación lo usará como su guía principal durante la auditoría.
Para detalles acerca de este documento, lea el artículo La importancia de la Declaración de aplicabilidad para la norma ISO 27001.
6. Plan para el tratamiento de riesgos
Este es el paso donde tiene que moverse de la teoría a la práctica. Seamos francos – hasta ahora este trabajo de evaluación del riesgo había sido puramente teórico, pero ahora es tiempo de mostrar resultados concretos.
Este es el propósito del Plan de Tratamiento de Riesgos – definir exactamente quién va a implementar cada control, cuándo, con cuál presupuesto, etc. Yo prefiero llamar a este documento “Plan de Implementación” o “Plan de Acción”, pero sigamos con la terminología usada en ISO 27001.
Una vez que haya escrito este documento, es crucial que obtenga la aprobación de la dirección porque llevará tiempo y esfuerzo considerables (y dinero) para implementar todos los controles que usted planificó acá. Y sin su compromiso usted no obtendrá recursos.
Y eso es todo – usted empezó su viaje desde no saber cómo establecer la seguridad de la información hasta tener una clara imagen de lo que necesita para la implementación. El punto es – ISO 27001 le obliga a hacer ese viaje de manera sistemática.
P.D. ISO 27005 – ¿cómo puede ayudarle?
ISO/IEC 27005 es una norma dedicada solamente a la gestión de riesgo de seguridad de la información – es muy útil si usted quiere tener una visión más profunda de la evaluación y tratamiento del riesgo en seguridad de la información – eso es, si usted quiere trabajar como consultor o como Gerente de Seguridad de la Información o de Riesgo, a tiempo completo. Sin embargo, si usted quiere hacer una evaluación de riesgo una vez al año, esta norma probablemente no sea para usted.
Descargue este material gratuito para obtener más información: Diagram of ISO 27001:2013 Risk Assessment and Treatment process.
