Actividades y herramientas para la gestión de riesgos ISO 27002

Clase 16 de 22Curso de Certificación ISO 27001 para Empresas

Clase anteriorSiguiente clase

Resumen

Gestionar riesgos es un proceso esencial en la seguridad de la información, y dominar el estándar ISO 27002 te permitirá aplicarlo con confianza y eficacia en cualquier organización. Este método te asegura trazabilidad clara, buen orden y reporte efectivo de avances en tus actividades de seguridad.

¿Cómo abordar la revisión anual de controles de seguridad?

Anualmente es fundamental realizar una revisión exhaustiva de todos los controles de seguridad incluidos en tu declaración de aplicabilidad. Esto garantiza su correcto funcionamiento y anticipa la identificación de nuevos riesgos.

Para realizar esta tarea adecuadamente, sigue estos pasos:

  • Primer paso: Lee detalladamente cada control del estándar ISO 27002.
  • Segundo paso: Evalúa cómo aplicas cada control dentro tu empresa.
  • Tercer paso: Realiza pruebas prácticas que confirmen o identifiquen amenazas.
  • Cuarto paso: Genera reportes o actividades concretas de mitigación de riesgos.

Un ejemplo concreto es el control A8.12, "prevención de fuga de datos", especialmente relevante si tu empresa usa servicios Cloud como OneDrive. Este control podría implicar revisar y ajustar el permiso actual para prevenir la fuga de información confidencial hacia correos personales.

¿Qué herramientas puedes utilizar para gestionar riesgos de forma organizada?

Las herramientas digitales facilitan la administración y optimización de la gestión de riesgos. Entre las opciones, encontramos plataformas específicas como Simplerex y documentos ofimáticos adaptados especialmente a esta tarea.

Plataforma Simplerex

Simplerex es una plataforma amigable y práctica para registrar detalladamente todos los riesgos asociados a tu sistema de gestión. Algunas de sus principales características incluyen:

  • Definición clara del marco de controles alineados con ISO 27002.
  • Tableros interactivos de riesgo que proporcionan información clave para la alta dirección.
  • Informes de riesgos dinámicos con información actualizada del estado del riesgo (abierto, cerrado o mitigado).
  • Incorporación de rápidos scripts en Python para determinar la efectividad y porcentaje de mitigación.

La plataforma, con su versión Community Edition, requiere registro obligatorio para actualización permanente.

Documentos ofimáticos personalizados

Otra opción práctica es utilizar documentos ofimáticos personalizados que se alineen directamente con la gestión de riesgos recomendada por ISO 27002. Esta herramienta permite:

  • Registro de riesgos, amenazas asociadas y vulnerabilidades detectadas.
  • Identificación específica del pilar de la seguridad comprometido: integridad, disponibilidad o confidencialidad.
  • Cálculo automatizado del nivel de riesgo en base a valores asignados a impacto y probabilidad.
  • Opciones claras para tratamiento del riesgo (control, transferencia, evasión o aceptación).
  • Inclusión del listado actualizado de controles ISO 27002 para una fácil referencia y verificación.
  • Implementación del script en Python proporcionado, para recalcular riesgos tras aplicar controles específicos.

¿Cómo distribuir tus actividades eficientemente durante el año?

Para evitar revisiones superficiales y asegurar seguimientos precisos, recomienda distribuir las actividades a lo largo del año. Además, crear tareas agrupadas por objetivos de seguridad facilita clarificar áreas específicas de mejora. Algunas categorías aconsejadas son:

  • Tratamiento de riesgos.
  • Planes de mejora derivados de auditorías.
  • Manejo de oportunidades adicionales.

Utilizando estas recomendaciones, podrás generar métricas valiosas y evidencias sólidas que reflejan claramente los avances realizados en materia de seguridad organizacional.