Gestión de Niveles y Tratamientos de Riesgo según ISO 27001

Clase 15 de 39Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)

Clase anteriorSiguiente clase

Resumen

¿Qué es la gestión de riesgos según ISO 27001?

La gestión de riesgos es un componente fundamental para asegurar la seguridad de la información en una organización. Según la norma ISO 27001, el manejo adecuado de los riesgos es crucial para el correcto funcionamiento de un sistema de gestión de seguridad de la información. Identificar y tratar los riesgos de forma adecuada es vital para minimizar su impacto negativo.

¿Cuál es la definición de riesgo?

Según el PMBOK, un riesgo es un evento o condición incierta que, si se produce, afecta de forma positiva o negativa a los objetivos de un proyecto. Sin embargo, en el contexto de ISO 27001 y basándose en la ISO 31000, se define el riesgo como una causa que tiene, al menos, una posibilidad de consecuencia negativa. Esto resalta la importancia de enfocarse en los resultados adversos que los riesgos pueden provocar en una organización.

¿Qué tipos de riesgos existen?

En la gestión de riesgos, se reconocen principalmente dos tipos: inherente y residual.

  • Riesgo inherente: Es el riesgo presente simplemente por realizar una actividad específica. Por ejemplo, al comprar un automóvil, se generan riesgos inherentes como robos o accidentes, que no existían antes de adquirir el vehículo.

  • Riesgo residual: Es el riesgo que permanece después de aplicar tratamientos o controles. Utilizando el ejemplo del automóvil, incluso después de contratar un seguro todo riesgo, siempre hay un mínimo riesgo restante de pérdida o daño.

¿Cómo se determina el nivel de riesgo?

Determinar el nivel de riesgo es esencial para gestionar y priorizar adecuadamente las amenazas. ISO 31000 sugiere calcularlo multiplicando el impacto por la probabilidad.

¿Qué es el impacto y cómo se categoriza?

El impacto se refiere a las consecuencias de que un riesgo se materialice. Se recomienda categorizarlo en una escala del 1 al 5:

  1. Insignificante
  2. Menor
  3. Crítico
  4. Mayor
  5. Catastrófico

¿Cómo se mide la probabilidad?

La probabilidad estima qué tan posible es que un riesgo ocurra. También se categoriza en una escala del 1 al 5:

  1. Improbable
  2. Posible
  3. Ocasional
  4. Moderado
  5. Constante

¿Qué función cumple el mapa de calor en la gestión de riesgos?

El mapa de calor es una herramienta visual que facilita la evaluación de riesgos al ubicarlos en zonas clasificadas como baja (verde), media (amarillo) o alta (rojo). Este mapa ayuda a visualizar rápidamente qué riesgos necesitan atención prioritaria y permite tomar decisiones informadas sobre la implementación de controles.

¿Cómo se utiliza en un caso práctico?

Imaginemos un escenario donde se identifica el riesgo de fuga de información en una fábrica mediante dispositivos móviles. Analizamos el impacto y la probabilidad determinando que el riesgo es "crítico" (3) y "moderado" (4), respectivamente. Multiplicando estos valores obtenemos un nivel que posicionamos en el mapa de calor para actuar en consecuencia.

Al cerrar esta sección, recordemos que no basta con identificar riesgos; es esencial comprender el negocio y actuar en línea con sus necesidades. La gestión de riesgos efectiva mejora la resiliencia organizacional y asegura un cuidado estricto de la seguridad de la información.

¡Continúa profundizando en ISO 27001 y refuerza tus habilidades en gestión de riesgos! Tu enfoque en esta área puede prevenir grandes inconvenientes futuros y permitir un manejo proactivo de la seguridad de la información.