Análisis de la nueva versión ISO 27001:2013 II
ISO 27001
En la parte I del análisis de la nueva versión de ISO 27001 se habló sobre la cláusula 4, relacionada con el contexto de la organización. En el artículo de hoy vamos a tratar la planificación.
Esta cláusula relacionada con la planificación ordena los pasos a seguir para crear un Sistema de Gestión de la Seguridad de la Información (SGSI). Es clave para esta parte la toma de decisiones relacionada con el análisis e identificación del riesgo.
Acciones para dirigir oportunidades y riesgos
En un SGSI la planificación depende de los objetivos marcados por la propia organización, el análisis de los riesgos y los requisitos reconocidos en la cláusula 4. La organización tiene que planificar dicho sistema para la determinación de riesgos y oportunidades que le posibilite:
- Garantizar la consecución de resultados.
- Disminuir efectos no deseados.
- Producir la mejora continua.
Como factor importante para la valoración de la salud del SGSI, vemos la relevancia de lograr el cumplimiento de objetivos y metas fijadas.
Destacan los siguientes aspectos del proceso de análisis e identificación del riesgo:
- Se deben reconocer e identificar los riesgos mediante la estimación de pérdidas sobre la integridad, disponibilidad y confidencialidad dentro del alcance del SGSI.
- Se debe identificar la procedencia de dichos riesgos. Esto es de suma importancia puesto que si las consecuencias de una posible amenaza se producen en una determinada área de la organización, el responsable de área es el responsable de dicho riesgo.
- Se debe analizar las consecuencias en el caso de que se materializasen los riesgos puesto que se determinarían ciertas probabilidades razonables definiendo los niveles de riesgo.
- Se debe evaluar los riesgos identificados y comparar los resultados con los criterios aceptables sobre el nivel de riesgo establecido con anterioridad.
- Se debe reconducir la situación.
En cuanto al procedimiento de tratamiento del riesgo, destacan los siguientes aspectos:
- Se debe seleccionar o escoger la opción más apropiada del riesgo (aceptar, evitar, transferir o reducir).
- Se deben determinar los controles necesarios en relación con las opciones de riesgo establecidas.
- Se debe comparar dichos controles con le anexo A para no omitir ni olvidar ninguno.
- Se debe llevar a cabo una declaración de aplicabilidad.
- Se debe elaborar una planificación de implementación.
- Se debe obtener una aprobación formal de los propietarios del riesgo sobre los niveles de riesgos residuales.
Objetivos y planes para lograrlos
La organización debe establecer una serie de objetivos en relación a funciones y niveles de forma razonables con la política de seguridad, medibles y que tengan en consideración las necesidades, requisitos y resultados del análisis de riesgos en un SGSI. Se debe determinar:
- Qué se tendrá que conseguir.
- Qué recursos se utilizarán.
- Quién será el responsable.
- Cuándo se lograrán.
- Cómo se medirán los resultados.
El funcionamiento de un SGSI debe ser guiado o dirigido por un cuadro de indicadores que verifiquen la consecución de objetivos y nos indiquen su tendencia, cumplimientos y márgenes de reacción.
ISOTools es una herramienta que prepara el proceso de implantación de un SGSI mediante la sistematización, evaluación y gestión del sistema de gestión, conforme a ISO 27001.