Gestión de riesgos y oportunidades en ISO 27001

La gestión efectiva de riesgos y oportunidades es un componente esencial en la nueva versión de la norma ISO 27001. Esta versión hace énfasis en identificar claramente las situaciones que pueden afectar, positiva o negativamente, la seguridad de la información en cualquier organización. Manejar estas situaciones adecuadamente puede significar la diferencia entre sufrir pérdidas importantes o lograr mejoras significativas en los procesos internos.

¿Qué es un riesgo según la ISO 27001?

El riesgo, desde la perspectiva de ISO 27001, se define como la probabilidad de que ocurra un evento que pueda afectar negativamente la seguridad de la información. Estos eventos incluyen incidentes como errores humanos, fallas técnicas, ataques informáticos o desastres naturales. Dado que se habla de probabilidad, es importante entender que cualquier riesgo, por mínimo que sea, requiere ser gestionado para evitar daños mayores.

¿Qué elementos debo considerar para gestionar riesgos?

Para una correcta gestión del riesgo, es fundamental:

• Definir claramente una metodología documentada.
• Establecer criterios precisos de aceptación del riesgo.
• Realizar revisiones periódicas.

¿Qué diferencia al riesgo de la oportunidad?

Mientras que el riesgo es la posibilidad de efectos negativos, la oportunidad es, en cambio, la situación que puede traer beneficios o mejoras significativas a la gestión de seguridad de la información. Gestionar adecuadamente oportunidades permite reducir riesgos potenciales mediante acciones preventivas y proactivas.

¿Cómo aprovechar correctamente las oportunidades?

Optimizar las oportunidades puede llevar a una mejora continua en la organización. Por ejemplo, implementar inteligencia artificial adecuadamente puede:

• Optimizar procesos internos.
• Reducir riesgos no identificados.
• Minimizar la exposición a vulnerabilidades externas.

¿Cuáles son las opciones para tratar riesgos según ISO 27005?

ISO 27005 permite varias opciones claras para gestionar los riesgos identificados:

1. Tratar: Aplicar controles específicos para reducir el riesgo.
2. Aceptar: Reconocer riesgos cuyo impacto es insignificante.
3. Evitar: Modificar actividades para eliminar riesgos, por ejemplo modificando el alcance.
4. Transferir o compartir: Pasar la responsabilidad a terceros (no mencionada explícitamente en el texto, pero es una opción común en gestión de riesgos).

¿Qué pasos específicos debe seguir para certificar ISO 27001?

Si la organización busca certificarse bajo ISO 27001, se recomienda seguir estos pasos prácticos:

• Realizar una caracterización profunda de los procesos incluidos en el alcance.
• Considerar los potenciales riesgos desde el punto de vista de un ciberdelincuente.
• Contrastar riesgos y controles con el anexo A y utilizar ISO 27002 como apoyo.
• Monitorear no solo los riesgos sino también las oportunidades.
• Informar periódicamente a la dirección para retroalimentar y asegurar alineación con objetivos empresariales.

¿Cómo Nutri Global aplica gestión de riesgos y oportunidades?

En un contexto práctico, Nutri Global ha desarrollado su sistema identificando claramente riesgos relevantes como:

• Fuga de información confidencial en investigación y desarrollo, calificado como crítico, aplicando controles específicos identificados.
• Compromiso de la plataforma de comercio electrónico, clasificado como alto, abordado con controles como protección contra malware y seguridad en servicios en la nube.

Su metodología incluye una fórmula explícita de cálculo de riesgo (Impacto × Probabilidad) y criterios de aceptación definidos (riesgos aceptables si su puntaje es de 0 a 3.9), así como revisión periódica de los riesgos detectados.

Gestionar riesgos y oportunidades requiere compromiso constante, define la base para una seguridad robusta e impulsa la excelencia organizacional. ¿Has avanzado en la implementación de estas buenas prácticas en tu compañía? ¡Comparte tus experiencias y aprende más sobre certificación ISO 27001!