ISO 27001:2013 Planificación. Valoración de los riesgos de la Seguridad de la Información
ISO 27001
ISO 27001:2013 está formada por una serie de cláusulas, de entre todas ellas hoy hablaremos de la sexta, la relacionada con la Planificación.
Este capítulo se divide en:
- 6.1 Acciones para tratar riesgos y oportunidades
- 6.2 Objetivos de seguridad de la información y planes para lograrlos
En este artículo vamos a centrarnos en el primer apartado: Acciones para tratar riesgos y oportunidades, en el que se detallan los requerimientos para la evaluación de riesgos y el plan de tratamiento de los mismos. Escribiremos sobre la evaluación de riesgos y en el siguiente post veremos los aspectos del plan de tratamiento.
6.1.1 Generalidades
A la hora de trabajar con un sistema de seguridad de la información, la organización debe tener en cuenta las cuestiones relacionadas con el apartado 4.1 Conocimiento de la organización y de su contexto, así como los requisitos establecidos en el punto 4.2 Comprensión de las necesidades y expectativas de las partes interesadas.
Asimismo debe concretar los riesgos y oportunidades que sean necesarios gestionar, con el objetivo de:
- Garantizar que se alcancen los propósitos establecidos con el sistema de gestión de la seguridad de la información.
- Prevenir o disminuir situaciones indeseadas.
- Alcanzar la mejora continua.
La organización debe programar:
- Actividades para tratar esos riesgos y oportunidades.
- La manera de incluir e implantar estas actividades en los procesos de la organización, además de determinar y valorar su eficacia.
6.1.2 Valoración de riesgos de la seguridad de la información
Se debe determinar y establecer un proceso de evaluación de riesgos de la seguridad de la información que:
a) Implante y mantenga medidas de riesgo de la seguridad de la información que contengan:
- Medidas de aceptación de riesgos.
- Medidas para evaluar los riesgos que se encuentren en el sistema de seguridad de la información.
b) Garantice que los resultados de las valoraciones realizadas sean fiables, sólidos y comparables.
c) Determine los riesgos de la seguridad de la información para:
- Llevar a cabo un proceso de valoración de riesgos que identifique aquellos riesgos relacionados con la falta de confidencialidad, integridad y disponibilidad que afecten al sistema de gestión de la seguridad de la información.
- Reconocer a los autores de los riesgos.
d) Examine los riesgos de la seguridad de la información, de tal forma que:
- Se valoren las consecuencias potenciales que podrían resultar de la materialización de los riesgos identificados en el apartado anterior.
- Se evalúe la probabilidad real de que sucedan los riesgos identificados.
- Se establezcan los niveles de riesgo.
e) Estime los riesgos de la seguridad de la información para:
- Poder comparar los resultados obtenidos del análisis de riesgos con los criterios que se identifican en el apartado a).
- Anteponer los riesgos examinados para el tratamiento de riesgos.
La organización debe mantener cualquier tipo de documento relacionado con el proceso de evaluación de riesgos de la seguridad de la información.
Todo esto permite priorizar los riesgos e identificar cuáles deberían ser exhaustivamente tratados, para lograr una gestión más eficaz de la organización.
Con la Plataforma Tecnológica ISOTools se le da la garantía de que va ser capaz de establecer, implementar y mantener cada uno de los requisitos que se establecen en el Sistema Gestión de la Seguridad en la Información de ISO27001 de forma eficaz y eficiente.