ISO 27001 2013 - Pasos para realizar una Evaluación de Riesgos

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

ISO 27001 2013: Pasos a seguir en una evaluación de riesgos

ISO 27001 2013: Pasos a seguir en una evaluación de riesgos

ISO 27001 2013

ISO 27001 2013

ISO 27001 2013 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la Seguridad de la Información en una organización, abordando las personas, los procesos y la tecnología. La revisión más reciente de esta norma fue publicada en 2013, como bien acompaña a su nombre, pero no debemos olvidar que la primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.

La norma ISO 27001 2013 puede ser implementada en cualquier tipo de organización o empresa, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en la materia, proporcionando una metodología para implementar correctamente la gestión de la seguridad de la información en una empresa. También permite que una organización sea certificada, pero debe llevarse a cabo por un organismo de certificación independiente, pues la Organización Internacional de Normalización no emite certificados. Dicha certificación confirmará que la seguridad de la información ha sido implementada en esa empresa bajo el cumplimiento de la norma ISO 27001 2013.

Recientemente, el Instituto Nacional de Estándares y Tecnología, conocido como NIST por sus siglas en inglés, ha citado a la norma ISO 27001 2013 como una norma de gran importancia dentro de su marco nacional de ciberseguridad, lo que le otorga aún más relevancia a las empresas con intereses en EE.UU. y las empresas estadounidenses responsables de la protección crítica de la infraestructura.

El despliegue de la norma ISO 27001 requiere una empresa para llevar a cabo las evaluaciones de riesgos de seguridad de la información. Esto es para asegurar que los controles de seguridad de la información se están implementando son apropiadas para el tipo de información que está siendo almacenada, procesada o transmitida.

El enfoque actual de los pasos a seguir para llevar a cabo la evaluación de riesgos de seguridad de la información incluye:

  • Establecer un marco de evaluación de riesgos

El marco se encarga de definir cuestiones como la capacidad de riesgo y la cultura de la empresa, las escalas de riesgo que se van a utilizar, así como la metodología a seguir a la hora de evaluar riesgos de seguridad de la información.

  • Identificar los riesgos 

Posiblemente es la parte más difícil y la que mayor tiempo del proceso consume. Puede encontrarse más fácilmente tras una evaluación del riesgo basada en activos, de tal modo que se identifiquen todos y cada uno de los riesgos que pueden afectar a los activos de información. También resulta de gran utilidad el libre acceso a una biblioteca o registro de riesgos y amenazas que puedan afectar a la organización.

  • Analizar y evaluar los riesgos

El análisis y la evaluación de los riesgos conllevan un proceso de asignación de valores concretos para determinar la probabilidad y el impacto en la empresa de los distintos riesgos, y para definir cómo encajan estos en el umbral de aceptación del riesgo. Se debe ser capaz de concretar cuáles de los riesgos son prioridades que requieren medidas urgentes y  cuáles tienen un nivel de prioridad medio o aceptable.

  • Seleccione las opciones de gestión del riesgo

Cuando se hayan determinado los riesgos, se debe establecer si se desean gestionar, admitir, eliminar o transferir. Para gestionar los riesgos debemos hacer uso de los controles de seguridad de la información adecuados. Es de gran utilidad tener acceso a los controles establecidos bajo la norma ISO 27001 2013, sobre todo basándonos en las políticas fijadas según la norma e incorporadas previamente a cada uno de los controles.

  • Revisión, informe y mantenimiento

Una cuestión de gran importancia respecto a la realización de la evaluación de riesgos para el cumplimiento de la norma ISO 27001 es, naturalmente, el posterior desarrollo del conjunto de informes donde se recogen cuáles son los riesgos, las medidas que se van a llevar a cabo para gestionarlos, cada uno de los plazos para la implementación de los controles, y las distintas acciones accesorias. Respecto a esto, aparecen en la norma ISO 27001 dos documentos de relevancia, como son la Declaración de Aplicabilidad (SOA) y el plan de gestión de riesgos.

Software ISO 27001

Para asegurar la automatización, gestión y control de un Sistema de Gestión de la Seguridad de la Información de forma eficaz y correcta, podemos ayudarnos con el Software ISOTools Excellence. Soluciona de una forma muy completa cada uno de los requisitos de la norma ISO 27001 2013. Además, ofrece al cliente la herramienta imprescindible para obtener una mejora continua en su gestión de procesos, con el consiguiente incremento de sus beneficios a corto plazo.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…

Loading Facebook Comments ...