ISO 27001: ¿Cómo apreciar los riesgos y las oportunidades de la organización?
ISO 27001
Hoy queremos hablar sobre la visión que ofrece la norma ISO 27001 sobre el análisis de riesgos. Un tema que ya se venía desarrollando en ediciones anteriores de la norma, pero ha sufrido algunos cambios importantes.
Las modificaciones que se han realizado no son excesivas, ya que la idea fundamental de un análisis de riesgos sigue siendo el mismo, es decir, realizar una valoración lo más objetiva posible de las amenazas que puedan afectar a la empresa y que, en el caso de que estas se materialicen, se estima el impacto que pueden generar en los activos de la organización y la prestación de servicios, tanto críticos como de apoyo y soporte.
Como bien sabemos, la norma ISO 27001, hace referencia a la aplicación de controles y salvaguardas que se deben implantar para que el impacto que generan las amenazas sea reducido con respecto a la confidencialidad, la integridad y la disponibilidad, que son bases de la seguridad.
Durante este artículo queremos explicar todas las novedades que ha traído la norma ISO 27001 en su última versión, con respecto al análisis de los riesgos:
En referencia al contexto de la organización
La medición de los riesgos obtenidos y sus oportunidades de mejora deben hacer referencia de forma específica al contexto de la empresa y a los requisitos que deben cumplir. Además se deben tener en cuenta todas las expectativas generadas por la organización, así como todas las necesidades de las partes interesadas.
El análisis que deben realizar las empresas no tiene que ser genérico, sino específico para cada sector y realizar acciones concretas para el tratamiento y reducción de los riesgos, más aún con la nueva incorporación de la gestión de las infraestructuras críticas.
Estos sistemas obligan a implantar en las empresas un sistema de detección temprana y respuesta de las autoridades de control de las incidencias.
Oportunidades y apreciación de riesgos
La empresa no sólo se debe centrar en los riesgos encontrados, sino en el análisis de riesgos realizado siendo éste la base para cumplir con el objetivo de mejora continua, y en caso de detección de anomalías o malfuncionamiento en la operación, corregirlo e implementar las acciones necesarias para evitar futuras amenazas.
Esto puede ser muy útil a la hora de revisar los sistemas y los procesos en los que se encuentran las oportunidades de mejora, independientemente de si los riesgos que han sido identificados pueden suponer un fallo en el servicio o disminuye la calidad del servicio ofrecido.
Enfoque a procesos
La apreciación de riesgos debe ser sistematizada y orientada a procesos, es decir, que se integren en el día a día de la empresa. Esto no supone que las apreciaciones de riesgos se deban realizar a diario, pero sí tener estos aspectos en cuenta, reportando a los responsables de seguridad, para que sus revisiones periódicas pongan dichas incidencias sobre la mesa. El objetivo es la mejora de los procesos en los que se detectaron todas las desviaciones o las oportunidades de mejora.
Concepto de dueños de los riesgos
En la apreciación de riesgos y su posterior evaluación deben establecerse todos los responsables que van a encargarse de dirigir y controlar todas las acciones de mejora para que exista una trazabilidad y no se detecten los riesgos que después deben ser tratados, controlados y evaluados.
Criterio de aceptación de riesgos
Este aspecto ya venía incluido en la anterior versión de la norma ISO 27001, y en la nueva se refuerza, obligando a la alta dirección a establecer los criterios o límites para el tratamiento de los riesgos, por lo que los riesgos que superen el umbral que se ha planteado como objetivo marcado deberán ser tratados o gestionados.
Tratamiento de riesgos
Puede tomarse como referencia el Anexo A de la norma ISO 27001 que incluye un listado de controles que sirven para orientarse en las diferentes acciones que deben realizar para reducir los riesgos. Estas acciones pueden formar parte de un plan mucho más complejo, llamado “Plan de Tratamiento de Riesgos” el cual debe contener todas las acciones planificadas, con sus dueños y responsables en los que se intenta mediante ciertas técnicas reducir el posible impacto de las amenazas sobre los activos de información.
Este plan de tratamiento de riesgos toma gran importancia. Es el origen de la eliminación de las conocidas como acciones preventivas, ya que el plan de tratamiento de riesgos aglutina todas las actuaciones y se pueden considerar como acciones preventivas en sí mismas, ya que los riesgos aún no se han materializado. Este plan de tratamiento de riesgos debe ser aprobado por dirección.
Declaración de aplicabilidad
La declaración de aplicabilidad es otro de los factores importantes de la norma ISO 27001. Esto incorpora todos los controles implementados y, por lo tanto, es un aspecto que no debe ser pasado por alto, ya que proporciona una guía para la apreciación y gestión de riesgos. Se remarca la exigencia, por parte de la norma ISO 27001, se añade en las mismas inclusiones y se deben justificar, además de las exclusiones y todas las decisiones tomadas para omitir los controles.
Por último, señalar que dicha apreciación de riesgos y oportunidades debe mantenerse como información documentada por parte de la empresa para futuras revisiones o para la realización de las auditorías de seguimiento.
Software ISO 27001
El Software ISOTools Excellence para ISO27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de los requisitos legales que les repercuten.