ISO 27001: Plan de tratamiento de riesgos de seguridad de la información
Plan de tratamiento de riesgos de seguridad de la información
Realizar un plan de tratamiento de riesgos de seguridad de la información es la parte más compleja de la implantación de la norma ISO 27001. A la vez la evaluación del riesgo es un paso más importante al comienzo de su proyecto de seguridad de la información, se establecen las bases para la seguridad de la información en su compañía.
La pregunta sería ¿por qué es tan importante? Es simple, pero no se entiende por muchas personas, la principal filosofía de ISO 27001 es encontrar los incidentes que puede ocurrir y la forma más apropiada para evitar los incidentes. No sólo eso, también tiene que evaluar la importancia de cada riesgo para que pueda enfocarse en los más importantes. Resulta interesante la lectura ISO 27005: ¿Cómo identificar los riesgos?.
A pesar del plan de tratamiento de riesgos de seguridad de la información, es un trabajo complejo ya que a menudo se tejen mitos innecesarios. Queremos exponer 6 pasos básicos para realizar el plan de tratamiento de riesgos de seguridad de la información de una manera sencilla:
Metodología de evaluación del riesgo
Es el primer paso en su viaje hacia la gestión de riesgos. Necesita definir las reglas para llevar a cabo la gestión de riesgo, ya que querrá que toda la empresa lo haga de la misma forma, el principal problema del plan de tratamiento de riesgos de seguridad de la información es que la organización lo ejecute de diferente forma en distintas partes de la organización.
Usted necesita definir si quiere una evaluación cualitativa o cuantitativa del riesgo, cuáles son las escalas que se utiliza durante la evaluación cualitativa, conocer cuál será el nivel aceptable de riesgo, etc.
Implantación de la evaluación del riesgo
Una vez que se conocen las reglas, se puede comenzar localizando los problemas potenciales que pueden ocurrir. Es necesario realizar un listado de todos los recursos, de las amenazas y vulnerabilidades que se relacionan con los recursos, evaluar el impacto y la probabilidad de ocurrencia para cada combinación de recursos, amenazas, vulnerabilidades y finalmente se debe calcular el nivel de riesgo.
Las empresas normalmente sólo son conscientes del 30% de sus riesgos. Puede ser que al finalizar se aprecie el esfuerzo realizado.
Implementar el tratamiento del riesgo
No todos los riesgos tienen el mismo origen, se debe enfocar en los más importantes, los llamados riesgos no aceptables.
Existen cuatro opciones que puede escoger para mitigar el riesgo no aceptable.
- Aplicar controles de seguridad obtenidos del Anexo A para disminuir el riesgo.
- Transferir el riesgo a otras personas, es decir, comprando un seguro con una compañía aseguradora.
- Evitar riegos al detener la ejecución de la actividad que genera un elevado riesgo, o al hacerla de forma diferente.
- Aceptar el riesgo, por ejemplo, si el costo de atenuación es mayor que el daño en sí mismo.
Es necesario ser creativo para minimizar el riesgo con una mínima inversión. Sería mucho más fácil si su presupuesto fuese ilimitado, pero eso nunca pasará. Es posible conseguir el mismo resultado con menos dinero, pero debe averiguar cómo hacerlo.
Reporte de la evaluación del riesgo en el Sistema de Gestión de Seguridad de la Información
Al contrario que en los pasos anteriores, este es algo más tedioso ya que es necesario documentar todo lo que ha hecho hasta ahora. No sólo es tedioso para los auditores, ya que usted mismo puede querer verificar los resultados en uno o dos años.
Declaración de aplicabilidad
Este documento muestra el perfil de seguridad de su empresa, basado en los resultados del tratamiento de riesgos, necesita realizar un listado de todos los controles que han implementado, por qué los implementó y cómo lo hizo. Este documento también es muy importante porque el auditor de certificación lo utilizará como su guía principal durante la auditoría.
Plan para el tratamiento de riesgos
Este es el paso en el que tiene que moverse de la teoría a la práctica. Hasta este momento el trabajo del plan de tratamiento de riesgos de seguridad de la información ha sido teórico, pero en este momento en donde se deben mostrar los resultados.
Este es el propósito del plan de tratamiento de riesgos de seguridad de la información, es decir, definir de forma exacta quien va a implantar cada control, cuándo, con qué presupuesto cuenta, etc. Es preferible llamar a este documento “plan de implementación” o “plan de acción”, pero debemos utilizar la terminología de la norma ISO 27001.
Una vez que ha escrito este documento, es crucial que se obtenga la aprobación de la dirección, ya que llevará tiempo y esfuerzo para implantar todos los controles que ha planificado. Y sin su compromiso no obtendrá los recursos necesarios.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.