ISO 27001 2013: Los riesgos y las oportunidades
ISO 27001 2013
El tema sobre el que queremos hablar hoy es la visión que ofrece la norma ISO 27001 2013 sobre el análisis de riesgos. Un tema que se desarrollaba en la norma ISO 27001 2007 pero que ha sufrido algunos cambios muy relevantes.
Como complemento, pese a las referencias que ofrece la norma ISO 27001 2013, para las personas que quieran acceder a la versión en castellano, la nomenclatura correcta es UNE ISO (IEC 27001:2014) y que se encuentra disponible para su adquisición.
Las modificaciones que ha sufrido la norma ISO 27001 2013 no han sido muy excesivas, ya que la idea fundamental del análisis de riesgos sigue encontrándose vigente, es decir, efectuar una evaluación lo más objetiva posible sobre todas las amenazas que pueden afectar a la empresa y que, en el caso de que estas se materialicen, se debe estimar el impacto que pueden generar en los activos importantes de la empresa y la prestación de servicio, tanto críticos como de apoyo o soporte.
La norma ISO 27001, en sus dos versiones, hace referencia a la aplicación de ciertos controles y salvaguardas que se deben implementar para que el impacto de las amenazas se vea reducido al respecto de la confidencialidad, integridad y disponibilidad, que son la bases de la seguridad.
Queremos explicar cuáles son las novedades que ha traído la norma ISO 27001 2013 con respecto al análisis de riesgos:
- Contexto de la organización: la medición de los riesgos obtenidos y sus oportunidades de mejora deben hacer referencia de forma específica al contexto de la empresa y a los requisitos que deben cumplir por parte de la organización, accionistas, partes interesadas y el entorno de la misma. También se deben tener en cuenta todas las expectativas generadas por la empresa, además de las necesidades de las partes interesadas. El análisis que realizan las organizaciones no debe ser genérico, sino específico para cada sector y efectuar acciones concretas para el tratamiento y la reducción de dichos riesgos, más aún con la nueva incorporación de la gestión de infraestructura críticas. Los sistemas obligan a implantar en las empresas los sistemas de detección temprana y respuesta a las autoridades de control de las incidencias.
- Oportunidades y apreciación de riesgos: la empresa no sólo debe centrarse en los riesgos encontrados, sino que el análisis de riesgos debe ser la base para cumplir con el objetivo de mejora continua y, en el caso de detectar anomalías en la operaciones se deberán corregir e implantar acciones para evitar posibles amenazas en el proceso. Además, esto puede ser de utilidad a la hora de revisar los sistemas o procesos en los cuales se pueden encontrar oportunidades de mejora, independientemente de si los riegos identificados pueden implicar un fallo del servicio de la calidad de la prestación del mismo.
- Enfoque a procesos: la apreciación de los riesgos debe ser sistematizada y orientada a los procesos, es decir, es necesario integrarlo en el día a día de la empresa. Esto no supone que las apreciaciones de riesgos se deban hacer a diario, pero sí se deben tener en cuenta los aspectos, reportando a los responsables de seguridad, para que en sus revisiones periódicas pongan dichas incidencias sobre la mesa. El objetivo que se persigue es la mejora continua de los procesos.
- Dueños de los riesgos: en la apreciación de riesgos y su posterior evaluación se deben determinar todos los responsables que se van a encargar de dirigir y controlar las acciones de mejora para que exista una trazabilidad y no se detecten riesgos que luego no vayan a ser tratados, controlados y evaluados. De ahí la figura del responsable del riesgo.
- Criterios de aceptación de riesgos: este aspecto ya se incluye en la norma ISO 27001 2007 y la ISO 27001 2013 se encarga de reforzarlo, obligando a la alta dirección a establecer ciertos criterios para el tratamiento de riesgos, por lo que aquellos riesgos que superen el umbral objetivo marcado, deberán ser tratados o gestionados.
- Tratamiento de riesgos: se puede tomar como referencia el Anexo A de la norma ISO 27001 2013 que incluye un listado de controles que sirve para orientarse en las posibles acciones a efectuar para disminuir los riesgos. Estas acciones pueden formar parte de un plan mucho más complejo, llamado Plan de Tratamiento de Riesgos el cual debe contener todas las acciones planificadas, con sus dueños y responsables en los que se intenta, mediante salvaguardar técnicas, reducir el impacto de las amenazas sobre los activos de información.
- Declaración de aplicabilidad: la declaración de aplicabilidad es otro de los aspectos que ganan en importancia y relevancia. Incorpora todos los controles implantados y, por lo tanto, es un aspecto que no debe ser pasado por alto, ya que proporciona una guía para la apreciación, la gestión de riesgos y las oportunidades.
Debemos señalar que dicha apreciación del riesgo y las oportunidades se deben mantener como información documentada por parte de la empresa para futuras revisiones o bien como prueba de auditorías de seguimiento.
Software ISO 27001
El Software ISOTools Excellence para ISO 27001 y la Seguridad de la Información se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.