Obtenga su Presupuesto Normas ISO en 1 Minuto AQUIObtenga su Presupuesto Normas ISO en 1 Minuto AQUI

ISO 27001 Análisis de Riesgos – Aplicabilidad

ISO 27001 ¿En qué consiste el Análisis de Riesgos y la Declaración de Aplicabilidad?

ISO 27001 Análisis de Riesgos Aplicabilidad

Dentro de la serie de artículos sobre ISO 27001 analizaremos el siguiente paso para implantar la norma. Se trata de  la realización del análisis de riesgos, debilidades / deficiencias según las diferentes denominaciones, el cual nos permite determinar el ámbito de aplicación de la norma también denominada “declaración de aplicabilidad”

En este paso, se deben identificar cada uno de los riesgos estableciendo los controles apropiados para gestionar el riesgo de manera sistemática de forma que consideremos todos los aspectos importantes para la empresa. Aquí se establecen además el cronograma de implantación, los recursos necesarios además del plan de auditorias.

Nos encontramos ante la parte más compleja de la norma; pero al mismo tiempo la evaluación del riesgo y su tratamiento es el paso más importante  en su proyecto de seguridad de la información. Aquí se establecen las bases para la seguridad de la información en la empresa.

 

LA IMPORTANCIA DEL ANALISIS DE RIESGOS

Si nos preguntamos acerca del motivo de la importancia de este paso podemos afirmar que la filosofía de la norma ISO 270001 es

Identificar las consecuencias de los posibles incidentes, o lo que es equivalente: “evaluar los riesgos”. De esta forma, podremos determinar las formas más adecuadas para evitar este tipo de incidentes, es decir: el tratamiento de los riesgos.

Sin embargo, esto no es suficiente, ya que debemos no solo identificar los riesgos, si no que debemos valorar la importancia de los mismos de forma que nos centremos en los más importantes y demos el tratamiento de forma ponderada a la importancia de cada uno.

Metodología de evaluación de riesgos

El primer paso es determinar una metodología de evaluación de riesgos adecuada para cada empresa. En general podemos decir que deberíamos tener en cuenta para ello:

  • Integración: Elegir una metodología aplicable a toda la empresa, o lo que es lo mismo que pueda ser aplicada a todas las partes de la organización.
  • Determinar una metodología centrada en aspectos cualitativos del riesgo y cuantitativos (Escalas de medición)
  • Definir los criterios de niveles aceptables de riesgos

Aplicando la evaluación de riesgos

Después de determinar las reglas de evaluación ya podemos comenzar a identificar los riesgos potenciales que pueden afectar a la organización, enumerando “todos” sus activos junto con las amenazas y vulnerabilidades que estén relacionadas con estos activos para así evaluar las el impacto. Para ello deberemos tener en cuenta el nivel de importancia del riesgo, la probabilidad de ocurrencia de cada combinación de activos / Amenazas / vulerabilidades para finalmente calcular el nivel de riesgo.

Este paso en concreto es de los más prácticos, ya que en nuestra experiencia las empresas habían considerado tan solo un 30% de los posibles riesgos, por lo que este capítulo suele ser bastante revelador y útil para la organización

El tratamiento del riesgo

La primera tarea consiste en clasificar el riesgo en admisibles e inadmisibles para centrarnos en los diagnósticos de tratamiento para los más importantes.

Las opciones para afrontar el tratamiento del riesgo son:

Se trata en definitiva de determinar el grado de cumplimiento o implementación en la empresa de estas cláusulas, utilizando un esquema gradual como el que sigue:

  • 1.- Aplicar los controles para el tratamiento del riego del anexo A de la norma, que hasta hace poco era parte del cuerpo normativo de la ISO 27001, aunque después de la revisión de la norma en 2013 admite la utilización de otros controles específicos de cada sector
  • 2.- La transferencia del riesgo a un tercero. p. ej. Mediante contrataciones de pólizas de seguros
  • 3.- Evitar el riesgo eliminando actividades demasiado arriesgadas o realizándolas de otra manera completamente diferente
  • 4.- Aceptar el riesgo. Cuando el coste de mitigar dicho riesgo supera con mucho el coste del daño causado por dicho riesgo
  • 5.- Disminuir el riesgo. Encontrar la forma de disminuir el riesgo potencial con el mínimo coste posible de forma que se convierta en un riesgo aceptable

Informe de evaluación de riesgos

Documentar el proceso realizado hasta ahora según los puntos anteriores

Declaración de Aplicabilidad

Este es un documento donde se refleja el perfil de seguridad de una empresa, donde se enumeran los resultados del tratamiento del riesgo en base a los controles a implementar en cada caso.

La declaración de aplicabilidad  es uno de los principales documentos del sistema debido a que el auditor de certificación lo usará como la directriz principal de la auditoría.

Revisión y aprobación por la dirección

SEste paso es también de crucial importancia debido a que sin la asignación de los recursos y del correspondiente compromiso de la dirección para la aplicación de los controles definidos en la declaración de aplicabilidad todo puede quedar en papel mojado

¿Por qué elegir a INGERTEC?

Logo del Catálogo de empresas y soluciones de ciberseguridad

INGERTEC  como miembro fundador de la UTE 27001 es proveedor oficial del INCIBE perteneciente al Ministerio de Industria por lo que somos una empresa con demostrada garantía y experiencia en la implantación de sistemas de Seguridad de la Información según la norma  ISO 27001.

 

!Conozca el presupuesto para implantar la norma ISO 27001!


Presupuesto On Line ISO 27001 Seguridad de la Información

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Referencias Sector TIC

Referencias INGERTEC Sector Tic - Garantía de un trabajo bien hecho

Contacte con nosotros

  •   Acepto la Política de privacidad

Donde estamos

DELEGACION CENTRO
[Tel.91 748 23 38]
Madrid
Paseo de la Castellana 259
Torre de Cristal
DELEGACION NOROESTE
[Tel.93 550 08 94]
Barcelona
Edif. Este, Moll de Barcelona, s/n DELEGACION SUR
[Tel.957 41 04 27]
Sevilla
Córdoba
Avda. Torrecilla s/n, Centro
Industrial La Torre nave 38
DELEGACION NORTE
Navarra [Tel.:948 985 753]
C/ Mayor Nº 15
Burlada
Logroño
[Tel.:946 545 010]
General Vara de Rey 64
DELEGACION NOROESTE
[Teléfono 881 242 869]
A Coruña
Calle Rua de Amio 114
Llamada gratuita 900 897 931

Autopresupuesto sin compromiso

Rellene este formulario y recibirá automáticamente el presupuesto en su email



Sector Servicios
Sector Fabricación
Otros

Si
No