Planificación según la ISO/IEC 27001:2022
Planificación según la ISO/IEC 27001:2022
En lo referente a la planificación, la nueva norma ISO 27001:2022 establece que se deben determinar los riesgos y oportunidades que hay que abordar para:
- Garantizar que el sistema de gestión de la seguridad de la información pueda lograr los resultados previstos.
- Prevenir o reducir los efectos no deseados.
- Lograr la mejora continua.
Además, la organización debe planificar las acciones necesarias para abordar estos riesgos y las oportunidades y cómo integrar e implementar las acciones en sus procesos del sistema de gestión de seguridad de la información, así como evaluar la efectividad de estas acciones.
Evaluación de riesgos de seguridad de la información
Según la ISO/IEC 27001 la organización debe definir y aplicar un proceso de evaluación de riesgos de seguridad de la información que:
- Establezca y mantenga criterios de riesgo de seguridad de la información, incluyendo los criterios de aceptación del riesgo y los criterios para realizar evaluaciones de riesgos de seguridad de la información.
- Asegure que las evaluaciones de riesgos de seguridad de la información repetidas produzcan resultados consistentes, válidos y comparables.
- Localice los riesgos de SI. Esto incluye aplicar el proceso de evaluación de riesgos de seguridad de la información para identificar los riesgos asociados con la pérdida de confidencialidad, integridad y disponibilidad de la información dentro del alcance del sistema de gestión de seguridad de la información. Además, se incluye la identificación de los propietarios del riesgo.
- Analice los riesgos de seguridad de la información para evaluar las consecuencias potenciales que resultarían si los riesgos identificados en se materializaran; para evaluar la probabilidad de ocurrencia de los riesgos; y la determinación del nivel de riesgo.
- Evalúe los riesgos de seguridad de la información, comparando los resultados del análisis de riesgo con los criterios de riesgo establecidos y priorizar los riesgos analizados para el tratamiento de riesgos.
La organización debe conservar información documentada sobre el proceso de evaluación de riesgos de seguridad de la información.
¿Cómo deben tratarse los riesgos de SI?
La norma ISO/IEC 27001:2022 establece que la organización debe definir y aplicar un proceso de tratamiento de riesgos de seguridad de la información para:
- Seleccionar las opciones adecuadas para el tratamiento de los riesgos de SI.
- Determinar todos los controles que son necesarios para implementar las opciones de tratamiento de riesgos de seguridad de la información elegidas. En este sentido, las organizaciones pueden diseñar controles según sea necesario, o identificarlos de cualquier fuente.
- Comparar los controles determinados con los del Anexo A de la ISO/IEC 27001 y verificar que no se hayan omitido los controles necesarios. El ya mencionado Anexo A contiene una lista de posibles controles de seguridad de la información, para garantizar que no se pasen por alto los controles necesarios de seguridad de la información. Los controles de seguridad de la información enumerados en el Anexo A no son exhaustivos y se pueden incluir controles de seguridad de la información adicionales si es necesario.
- Producir una Declaración de Aplicabilidad que contenga los controles necesarios; la justificación de su inclusión; si se aplican o no los controles necesarios; y la justificación para excluir cualquiera de los controles del Anexo A.
- Formular un plan de tratamiento de riesgos de seguridad de la información.
- Obtener la aprobación de los propietarios de riesgos del plan de tratamiento de riesgos de seguridad de la información y la aceptación de los riesgos residuales de seguridad de la información.
Según lo establecido por la norma ISO/IEC 27001 la organización debe conservar información documentada sobre el proceso de tratamiento de riesgos de seguridad de la información. El proceso de evaluación y tratamiento de riesgos de seguridad de la información en este se alinea con los principios y directrices genéricas proporcionados en la norma ISO 31000.
¿Cómo deben ser los objetivos de SI?
La ISO/IEC 27001 aclara que la organización debe establecer objetivos de seguridad de la información en las funciones y niveles pertinentes. Los objetivos de seguridad de la información deberán:
- Tener coherencia con la política de SI.
- Ser medibles, si es factible.
- Tener en cuenta los requisitos de seguridad de la información aplicables y los resultados de la evaluación y el tratamiento del riesgo.
- Ser monitoreados.
- Ser comunicados.
- Actualizarse según corresponda.
- Estar disponibles como información documentada.
La organización debe conservar información documentada sobre los objetivos de seguridad de la información.
Al planificar cómo lograr sus objetivos de seguridad de la información, la organización debe determinar lo que se hará; qué recursos se requerirán; quién será responsable; cuándo se completará; y cómo se evaluarán los resultados.
Cuando la organización determina la necesidad de cambios en el sistema de gestión de la seguridad de la información, los cambios deben llevarse a cabo de manera planificada.
Plataforma tecnológica para Sistemas de Gestión de Seguridad de la Información
La plataforma tecnológica ISOTools cuenta con diferentes aplicaciones que funcionan para que la Seguridad de la Información que tienen las organizaciones no pierda ninguna de sus propiedades más importantes, como son la integridad, la confidencialidad, etc. Además, permite implementar, mantener y mejorar el SGSI en base a la norma ISO/IEC 27001:2022.
La norma ISO/IEC 27001 es un conjunto de principios y directrices para gestionar la seguridad de la información en una organización. Permite a las empresas definir una política de seguridad y ponerla en práctica identificando riesgos e implementando las medidas adecuadas para proteger sus datos de cualquier acceso o modificación no autorizada.
La certificación ISO/IEC 27001 es reconocida mundialmente como garantía de altos estándares de calidad relacionados con los sistemas de gestión de seguridad de la información (SGSI).