El tema que nos ocupa hoy es la visión que da la norma ISO 27001:2013 en materia de análisis de riesgos. Un tema que ya desarrollaba la norma ISO 27001:2007 pero que ha sufrido algunos cambios relevantes.
Como apunte complementario, pese a que las referencias son a la norma ISO 27001:2013, para aquellos que deseen acceder a su versión en castellano, decir que su nomenclatura correcta es UNE-ISO (IEC 27001:2014) y que ya está disponible para su adquisición.
En esencia, las modificaciones efectuadas no son excesivas, ya que la idea fundamental de un análisis de riesgos sigue estando vigente, es decir, efectuar una valoración lo más objetiva posible de las amenazas que pueden afectar a la organización y que, en el caso de que estas se materializaran, estimar el impacto que podría ocasionar a los activos de la organización y la prestación de los servicios, tanto críticos como de apoyo y soporte.
Como bien conocemos, la norma ISO 27001, en sus dos versiones, hace referencia a la aplicación de controles y salvaguardas que deben implementarse para que el impacto de las amenazas se vea reducido respecto de la confidencialidad, integridad y disponibilidad, que son las bases de la seguridad.
Expuesto el escenario general, quiero explicar las novedades de la norma ISO 27001:2013 respecto al análisis de riesgos:
- Referencia al alcance/contexto de la organización
La medición de los riesgos obtenidos y sus oportunidades de mejora debe hacer referencia específicamente al contexto de la organización y a los requisitos a cumplir por parte de la empresa, accionistas, partes interesadas y el entorno de la misma. También se deben tener en cuenta las expectativas generadas en la organización, así como las necesidades de las partes interesadas o stakeholders.
Es decir, el análisis de las organizaciones no debe ser genérico, sino específico para cada sector (por ejemplo, no es lo mismo los riesgos que pueden afectar al sector energético que al sector de las telecomunicaciones) y efectuar acciones concretas para el tratamiento y reducción de dichos riesgos, más aún con la nueva incorporación de la gestión de infraestructuras críticas y sistemas SCADA.
Estos sistemas obligan a implementar en las organizaciones sistemas de detección temprana y respuesta a las autoridades de control de las incidencias.
- Oportunidades y apreciación de riesgos
La organización no sólo debe centrarse en los riesgos encontrados, sino que el análisis de riesgos debe ser la base para cumplir con el objetivo de mejora continua y, en caso de detección de anomalías o malfuncionamientos en la operación, corregirlo e implementar acciones para evitar posibles amenazas en el proceso.
Además, esto puede ser de utilidad a la hora de revisar los sistemas o procesos en los cuales se puedan encontrar oportunidades de mejora, independientemente de si los riesgos identificados pueden implicar un fallo del servicio o merma de la calidad de la prestación del mismo.
- Enfoque a procesos
La apreciación de riesgos debe ser sistematizada y orientada a procesos, es decir, que integrarlos en el día a día de la organización. Esto no implica que las apreciaciones de riesgos deban hacerse a diario, pero sí tener estos aspectos en cuenta, reportando a los responsables de Seguridad, para que en sus revisiones periódicas pongan dichas incidencias sobre la mesa. El objetivo es la mejora de los procesos en los que se detectaron las desviaciones u oportunidades de mejora.
- Concepto de «dueños» de los riesgos
En la apreciación de riesgos y su posterior evaluación deben determinarse los responsables que se van a encargar de dirigir y controlar las acciones de mejora (es decir, la aplicación e implementación de los controles del Anexo A de la norma ISO 27001:2013) para que exista una trazabilidad y no se detecten riesgos que luego no vayan a ser tratados, controlados y evaluados. De ahí la figura del responsable del riesgo o «dueño» del riesgo.
- Criterios de aceptación de riesgos
Este aspecto ya se incluía en la ISO 27001:2007 y la ISO 27001:2013 se encarga de reforzarlo, obligando a la alta dirección a establecer los criterios o límites para el tratamiento de riesgos, por lo que aquellos riesgos que superen el umbral objetivo marcado, deberán ser tratados o gestionados.
- Tratamiento de riesgos
Puede tomarse como referencia el Anexo A ISO 27001:2013 que incluye un listado de controles que sirven para orientarse en las posibles acciones a efectuar para reducir los riesgos. Estas acciones pueden formar parte de un plan más complejo, llamado «Plan de Tratamiento de Riesgos» el cual debe contener todas las acciones planificadas, con sus dueños y responsables en los que se intenta, mediante salvaguardas técnicas u organizativas, reducir el posible impacto de las amenazas sobre los activos de información.
Este plan de tratamiento de riesgos toma gran importancia. Es el origen de la eliminación de las conocidas como «Acciones preventivas» ya que el plan de tratamiento de riesgos aglutina todas estas actuaciones y se pueden considerar como acciones preventivas en sí, ya que los riesgos aún no se han materializado. Este plan de tratamiento de riesgos debe ser aprobado por Dirección.
- Declaración de aplicabilidad
Por último, y también referenciado en la anterior ISO 27001:2007, la Declaración de aplicabilidad es otro de los aspectos que ganan en importancia y relevancia. Ésta incorpora todos los controles implementados y, por tanto, es un aspecto que no debe ser pasado por alto, ya que proporciona una guía para la apreciación y gestión de riesgos y oportunidades. Se remarca la exigencia, por parte de la norma ISO 27001:2013, de añadir en la misma las inclusiones y justificarlas, así como las exclusiones y decisiones de por qué se han omitido los controles.
Por último, señalar que dicha Apreciación de Riesgos y Oportunidades debe mantenerse como información documentada por parte de la organización para futuras revisiones o bien como prueba para auditorías de seguimiento.
Deja una respuesta
Lo siento, debes estar conectado para publicar un comentario.