¿Por qué es importante analizar los riesgos en ISO 27001?
Riesgos
Realizar una valoración de los riesgos de la seguridad de la información, es una de las principales actividades que se debe realizar al implementar la norma ISO 27001 en nuestra empresa. Al realizar la valoración de los riesgos se determinarán: los controles que se deben aplicar, las acciones y tratamientos a realizar, los objetivos a cumplir, etc. Y, por lo tanto, es crítico, para que el Sistema de Gestión de Seguridad de la Información sea realmente útil, y no una carga extra de trabajo para la empresa.
Es muy importante que el proceso se encuentre perfectamente procedimentado y lo más sistematizado posible. Esto es necesario para que sea la persona que sea la que realice los análisis no cambien los resultados. Además, tendremos que comparar los resultados de los distintos análisis que hagamos a lo largo del tiempo, para poder establecer si las acciones que se realizan suponen una mejora real de la seguridad de la información de la empresa.
El análisis de los riesgos es la actividad que más tiempo nos llevará durante la implementación del sistema de gestión, y a la que más atención hay que prestarle. Para llevarla a cabo de forma correcta, se deberán seguir estos pasos:
Establecer todos los criterios
El primer paso que establece la norma ISO 27001 es el de fijar todos los criterios, una vez identificados y analizados, se estable si cada uno de ellos se acepta o no por la empresa. En el caso de que no sea aceptable, se deberán tomar acciones dentro del plan de tratamiento de riesgos.
Que un riesgo se acepte o no, se fija partir del determinado nivel de riesgo. Este nivel de riesgo, se calcula para cada uno de los riesgos que han sido identificados según un algoritmo que relacione, la probabilidad de que ocurra, las consecuencias y el valor del activo.
Identificar los riesgos
La identificación de los riesgos para la seguridad de la información, no suele ser una tarea rápida y sencilla, ya que es muy importante no dejarse ninguno. Es recomendable que este trabajo sea realizado por varias personas, esto evitará errores importantes en la identificación de los riesgos.
La forma más sencilla en la que se identifican todos los riesgos de forma sistemática, evitando olvidar los riesgos más importantes, es seguir estos pasos:
- Identificar todos los activos. Los riesgos siempre van a ir asociados a la información, y ésta siempre se encuentra contenida o gestionada por algún activo. Es necesario que se disponga de un inventario exhaustivo de los activos de información de la empresa.
- Listar las amenazas. Cada organización se encuentra sometida a un conjunto de amenazas intrínsecas a su actividad y ubicación. Este paso es mucho más sencillo, ya que se disponen de listados generales. Lo que, si debemos tener en cuenta, es descartar de estas listas las que no aplican a nuestra organización.
- Detectar las vulnerabilidades. Una vez completados todos los pasos mencionados anteriormente, es el momento de cruzar cada activo con cada amenaza, para determinar si dicho activo es vulnerable a dicha amenaza. De esta combinación, nacerán los riesgos de la seguridad de la información de nuestra empresa.
Las vulnerabilidades de un activo frente a una amenaza, siempre va a encontrarse asociada a la pérdida de confidencialidad de la información que contiene, la integridad y la disponibilidad a la hora de ser utilizada por todas las personas que la necesitan. Estos tres conceptos nos ayudarán también a identificar las diferentes vulnerabilidades de cada activo, y por lo tanto sus riesgos.
Probabilidad de impacto
En este paso, analizamos todos los riesgos que se encuentran identificados en el paso anterior. Para establecer como de importante es un riesgo, se utilizan al menos dos parámetros, la probabilidad y el impacto.
Con estos dos factores, y alguno más que podemos incluir, se aplica una fórmula de cálculo que nos indique el nivel de riesgo de cada uno de los riesgos que se han identificado.
Evaluar los riesgos
Una vez que ya tenemos los riesgos identificados, hemos analizado su probabilidad y posible impacto, y valorados según el nivel de riesgos. Es el mundo de evaluarlos según los criterios del primer paso. Es necesario que comparemos cada nivel de riesgos con los valores límite que se hayan prefijado, clasificando cada riesgo siendo tolerable o intolerable.
Los riesgos que se califiquen como inaceptables, deben ser corregidos por medio de nuevos controles en el plan de tratamiento de riesgos. Los que se consideran aceptables, se considerarán como riesgos residuales.
Formación para el tratamiento de los riesgos
La Escuela Europea de Excelencia ha diseñado un Diplomado de Seguridad y Salud en el Trabajo ISO 45001 para que los profesionales puedan hacer frente a los retos que se plantean frente a riesgos en la norma ISO 45001. Este diplomado ofrece un programa completo para que el alumno pueda dar respuesta a todas las necesidades del proyecto ISO 45001 que esté liderando.
El Diplomado de Seguridad y Salud en el Trabajo ISO 45001, como el resto de cursos de la Escuela Europea de Excelencia, está diseñado por y para profesionales. Ha sido desarrollado por expertos en activo de los Sistemas de Seguridad y Salud en el Trabajo a nivel internacional. Además de la enriquecedora interacción con estos docentes, esta formación le pondrá en contacto con profesionales de otras nacionalidades, lo que se traducirá en una experiencia enriquecedora para todos los alumnos.