¿Cómo mitigar el tratamiento del riesgo según la norma ISO 27001?
ISO 27001
Muchas personas piensan que la evaluación de riesgos es una parte muy difícil de la implantación de la norma ISO 27001, la evaluación del riesgo es mucho más compleja, pero el tratamiento del riesgo es mucho más estratégico y costoso.
El propósito del tratamiento basado en riesgos en muy simple: sirve para controlar todos los riesgos que se identifican durante la evaluación del riesgo, en la mayoría de los casos esto significa una disminución de riesgos con lo que disminuye la probabilidad de tener un incidente, además se reduce el impacto que generan los activos.
Durante el tratamiento del riesgo, la empresa se debe centrar en aquellos riesgos que no son aceptables, de lo contrario, sería difícil definir prioridades y financiar la mitigación de todos los riesgos que sean identificados.
Opciones de tratamiento más comunes
Una vez que se cuente con el listado de riesgos inaceptables, deberá ir uno por uno y decidir cómo tratar a cada uno, pudiendo aplicar todas estas opciones:
- Minimizar el riesgo: esta opción es la más utilizada, ya que incluye la implementación de controles.
- Evitar el riesgo: deja de realizar ciertas tareas o procesos que tengan que sufragar dichos riesgos que son simplemente demasiado grandes para mitigar cualquier otra opción, puede decidir si prohibir la utilización de ordenadores portátiles fuera de las instalaciones de la organización si el riesgo de acceso no autorizado a los ordenadores portátiles es muy alta.
- Compartir el riesgo: esto significa la transferencia de riesgo a otra parte. Por desgracia esta opción no tiene ninguna influencia sobre los incidentes en sí, por lo que la mejor estrategia es utilizar esta opción junto con otras opciones.
- Conservar el riesgo: esta es la opción menos deseable, y esto es porque su empresa acepta el riesgo sin hacer nada al respecto. Esta opción se debe utilizar sólo si el costo de mitigación es mayor que el daño que genera un incidente.
Minimizar los riesgos es la opción más común para el tratamiento de los riesgos, y por ello se usan los controles que ofrece la norma ISO 27001 en el Anexo A.
Antes de iniciar el tratamiento de riesgos
Antes de iniciar el proceso de tratamiento de riesgos, se debe estar al tanto de las entradas principales: la Metodología de Gestión de Riesgos y riesgos inaceptables de la evaluación de riesgo. Una entrada adicional también debería ser el presupuesto que se encuentra disponible para el año en curso, porque muy a menudo la mitigación requerirá de cierta inversión.
Al seleccionar nuevos controles, básicamente existen tres tipos de controles:
- Definir nuevas reglas: reglas que se encuentran documentadas mediante planes, políticas, procedimientos, instrucciones, etc. a pesar de que no tiene que documentar algunos procesos mucho menos complejos.
- Aplicar las nuevas tecnologías: los sistemas de copia de seguridad, ubicaciones de recuperación de desastres para los centros de datos, etc.
- Cambio en la estructura de la organización: algunos casos, tendrá que introducir una nueva función de trabajo, o cambiar las responsabilidad de una posición existente.
Decidir que controla para seleccionar
El tratamiento del riesgo es un paso en el que normalmente no se incluye un gran número de personas, que tendrá que intercambiar ideas sobre cada opción de tratamiento con especialistas en su organización que se concentran en ciertas áreas. Por ejemplo, si el tratamiento tiene que ver con esto, usted hablará a su personal de TI, si se trata de nuevas formaciones hablara con el personal de recursos humanos, etc.
La decisión final sobre la nueva opción de tratamiento requerirá de tomar una decisión sobre el nivel de gestión apropiado, a veces será capaz de tomar decisiones, a veces será el equipo el que tome las decisiones, otras veces será el jefe de departamento, etc. Si tiene dudas en cuanto a que puede decidir, consulte con el patrocinador del proyecto.
El proceso de tratamiento del riesgo se encuentra a menudo documentado de forma similar al proceso de evaluación de riesgos, y por último, en el informe de tratamiento de riesgos.
Si consideramos todas estas opciones, y en particular la garantía que supone realizar una inversión tecnológica, deberá tener cuidado porque a menudo la primera idea que se viene a la mente será la más cara, por lo tanto, pensar muy bien antes de comprar un nuevo sistema. A veces existen alternativas que sean igualmente eficaces, pero con un menor coste. Además deberá tener en cuenta que la mayor parte de los riesgos que existen es por causa de la conducta humana, no a causa de las máquinas.
Este momento es en el que deberá ser creativo, ya que necesita encontrar la manera de reducir los riesgos con una inversión mínima. Sería mucho más fácil si su presupuesto fuera ilimitado, pero nunca sucederá. Por lo que deberá ser lo suficientemente inteligente como para llegar a una solución.
Software ISO 27001
El Software ISOTools Excellence para ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.