La ISO 27001 es la norma de referencia para la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) en una empresa. Se trata de una normativa esencial para las políticas de Ciberseguridad de las organizaciones, ya que permite garantizar la seguridad de los datos que se manejan, ya sean datos de empleados, clientes o proveedores. Uno de los elementos clave de este estándar es la Gestión de Riesgos asociadas a la seguridad de la información. Por ello, es importante que el experto en Ciberseguridad conozca los elementos imprescindibles para el tratamiento de riesgos según ISO 27001.

Cómo tratar el riesgo aplicando la ISO 27001

A la hora de proteger la seguridad de la información según la ISO 27001, el primer paso es realizar un análisis de riesgos y ciberamenazas a los que se enfrenta una organización.  Una vez identificados dichos riesgos, la siguiente etapa consistirá en realizar un tratamiento de los mismos. Para ello, hay que tener en cuenta los siguientes elementos.

1. Elegir una opción de tratamiento de los riesgos digitales

Con los riesgos digitales identificados se pueden llevar a cabo varias acciones. Una opción es reducirlos. Es decir, implementar un control para que la probabilidad o el impacto del riesgo se reduzca, aunque siga existiendo. También se puede optar por evitar el riesgo. Por ejemplo, si se tiene un sistema obsoleto como Windows 98, plagado de vulnerabilidades, y ese sistema tiene información de la empresa, una solución sería extraer toda esa información y meterla en un sistema que no sea obsoleto. Otras opciones son transferir el riesgo a una empresa externa (como puede ser una entidad aseguradora), o asumirlo. En este último caso, la empresa asume las consecuencias de que el riesgo se materialice, aunque al menos es consciente de que el riesgo existe.

2. Los controles de seguridad según la ISO 27001

Otro elemento a tener en cuenta en la Gestión de Riesgos digitales es la aplicación de los controles del Anexo A de la ISO 27001. El único anexo que tiene este estándar internacional cuenta con un total de 114 controles de seguridad. De esta forma, la empresa sólo tiene que buscar el sistema de control que le puede ayudar a reducir el riesgo, e implementarlo. Para ello, la intervención de los expertos en Ciberseguridad e ISO 27001 será fundamental.

3. Implementar la declaración de aplicabilidad SOA

La declaración de aplicabilidad SOA (Statement of Applicability) es un documento fundamental y obligatorio dentro de la implementación de la 27001. Se trata de un documento, por lo general, en formato Excel, que contiene todos los controles del estándar, (recogidos en el Anexo A) y en el que se indica, para cada control, si se aplica o no dentro del SGSI. Un tipo de control, por ejemplo, es el del teletrabajo. Si la empresa no lleva a cabo esta actividad, tendrá que indicar en su documento que no aplica.

4. El plan de tratamiento de riesgos

Dentro del tratamiento de riesgos hay que incluir el propio plan de tratamientos de riesgos según la ISO 27001. Se trata una planificación de las acciones que se van a llevar a cabo para implementar los controles que se necesiten. Para su elaboración, es necesario detallar unas fases, unos recursos a utilizar, así como etapas, acciones y plazos para su ejecución. En la siguiente imagen puedes ver un ejemplo de un plan de tratamiento de riesgos ISO 27001.

Máster en Ciberseguridad y Riesgos Digitales de EALDE Business School

El tratamiento de riesgos de seguridad de la información es abordado en profundidad en el  Máster en Ciberseguridad y Riesgos Digitales de EALDE Business School. Se trata de un máster online que capacita para liderar planes de Gestión de Riesgos asociados a las nuevas tecnologías en todo tipo de organizaciones.

Puedes conocer el plan de estudios del Máster en Ciberseguridad y Riesgos Digitales haciendo clic en el siguiente apartado:

Puedes ampliar información sobre la ISO 27001 en el siguiente vídeo:

Te dejamos este link con información sobre nuestra Maestría en Gestión de Riesgos que puede resultarte interesante.