ISO 27001

ISO 27001 es una herramienta a tener en cuenta para llevar a cabo el análisis y la gestión del riesgo en la seguridad de la información en las organizaciones, concretamente los requisitos necesarios exigidos por la misma referente a la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI).

En lo que respecta al análisis y gestión del riesgo es un proceso que se debe realizar ya que los activos de la información son vitales para las organizaciones. Estos activos tienen cierta vulnerabilidad y están expuestos a una serie de amenazas.

Si la amenaza logra acabar con esa vulnerabilidad existe la probabilidad de que se de lugar a un riego intrínseco que ocasione un gran impacto en la organización. Para evitarlo, se aplican diversos controles, que aunque evidentemente ocasionan unos costes, el riesgo intrínseco pasa a ser un riesgo residual. Para ello, las organizaciones deben realizar lo siguiente:

ANÁLISIS Y VALORACIÓN DE RIESGOS

1) Análisis de riesgos: empezamos con los activos y se realiza enfoques de mínimos, detallados, combinados e informales.

 2) Identificar amenazas:

• Internas o externas
• Accidentales o deliberadas

3) Identificar vulnerabilidades: este concepto debe quedar claro para los trabajadores de la organización. El conocimiento absoluto del negocio ayuda a identificar posibles debilidades o vulnerabilidades.

4) Documentar el análisis de riesgos: hay que tomar decisiones sobre la transmisión, mitigación, reducción o eliminación.

GESTIÓN Y TRATAMIENTO DE RIESGOS

Aquí ya sabemos cuáles son los riesgos que hay que mitigar, asumir o transferir, por tanto, hay que realizar un plan de implantación de controles. Dichos controles pueden ser organizativos o técnicos y correctivos o preventivos.

Hay que tener en cuenta la disponibilidad, los costes, el calendario, la aplicabilidad, la formación y los usuarios.

Se debe documentar el tratamiento de riesgos a través de un plan, y teniendo presente los recursos disponibles, los objetivos establecidos con anterioridad y la periodificación.

La Plataforma Tecnológica ISOTools ayuda a las organizaciones mediante la norma ISO-27001 al proceso de identificación de riesgos en la seguridad de la información, planificación de acciones correctivas y preventivas y al control de la eficiencia.