Operatividad en la Gestión de Riesgos

Clase 16 de 22Curso de Certificación ISO 27001 para Empresas

Clase anteriorSiguiente clase

Resumen

La gestión de riesgos es el pilar fundamental de cualquier sistema de seguridad de la información efectivo. Establecer un proceso estructurado para identificar, evaluar y mitigar riesgos no solo cumple con los requisitos de la norma ISO 27001, sino que protege activamente los activos más valiosos de tu organización. A continuación, exploraremos metodologías prácticas y herramientas específicas que te permitirán implementar una gestión de riesgos trazable y eficiente, convirtiendo este proceso en una ventaja competitiva para tu empresa.

¿Cómo estructurar un sistema de gestión de riesgos trazable?

Para mantener un control efectivo sobre los riesgos de seguridad, es fundamental establecer un proyecto asociado al sistema de gestión que permita dar seguimiento y generar reportes de avance. La trazabilidad es clave para demostrar cumplimiento ante auditorías y para la mejora continua del sistema.

Una de las tareas obligatorias es la revisión anual de cada uno de los controles de seguridad incluidos en la declaración de aplicabilidad. Esta revisión tiene como objetivo verificar que los controles estén funcionando correctamente y detectar nuevos riesgos que requieran atención.

Workflow recomendado para la revisión de controles

A continuación se presenta un workflow práctico utilizando un caso real para facilitar su comprensión:

  1. Lee cada control del estándar ISO 27002: Por ejemplo, analicemos el control A 8.12 sobre prevención de fuga de datos, considerando que la empresa utiliza OneDrive como almacenamiento en la nube.

  2. Revisa la aplicación actual del control: En este caso, se observa que la configuración actual de OneDrive permite compartir información con correos personales.

  3. Analiza situaciones de compromiso de seguridad: Realizando una prueba, se comparte un listado de clientes a un correo personal y se verifica que no existe trazabilidad ni alertas de seguridad para los administradores.

  4. Genera reportes o actividades de mitigación: Al detectar un nuevo riesgo de nivel medio relacionado con fuga de datos, se crea inmediatamente una tarea para el responsable de servicios cloud, quien deberá implementar reglas DLP (Data Loss Prevention) en el servicio de almacenamiento.

Es recomendable distribuir estas actividades a lo largo del tiempo para realizar revisiones profundas y no superficiales. Los auditores externos solicitarán evidencia de estas revisiones, por lo que mantener un registro detallado es esencial.

Organización de tareas por objetivos de seguridad

Para una gestión más eficiente, puedes agrupar las tareas según objetivos específicos:

  • Tratamiento de riesgos
  • Plan de mejora (posterior a auditorías internas o externas)
  • Tratamiento de oportunidades de mejora

Esta organización permite crear tableros de gestión que muestren porcentajes de avance y clarifiquen dónde se concentran los esfuerzos de seguridad de tu equipo. El resultado será contar con métricas y evidencias reales de tu trabajo, elementos fundamentales para demostrar el valor del sistema de gestión.

¿Qué herramientas facilitan la gestión operativa de riesgos?

Existen diversas herramientas que pueden agilizar la operatividad de la gestión de riesgos. A continuación, se presentan algunas opciones basadas en un caso real.

Plataformas especializadas: SimpleRx

SimpleRx es una plataforma de gestión de riesgos fácil de instalar donde se pueden registrar todos los riesgos identificados en el sistema de gestión. Entre sus funcionalidades destacan:

  • Definición de marcos de control: Permite incluir todos los controles del anexo A o ISO 27002.
  • Tablero de riesgo: Muestra gráficos sobre los niveles de riesgo, muy útiles para presentar a la alta dirección.
  • Informe de riesgo dinámico: Proporciona claridad sobre riesgos abiertos, cerrados o mitigados.

Para cada riesgo registrado, la plataforma calcula su valor (probabilidad por impacto) y permite activar opciones de mitigación. Al mitigar un riesgo, se espera definir un porcentaje de mitigación, que puede determinarse mediante un script en Python (disponible en los recursos) según los controles aplicados.

La versión Community Edition ofrece funcionalidades básicas, pero es necesario registrar el producto para recibir actualizaciones permanentes.

Documentos ofimáticos para la gestión de riesgos

Si prefieres una alternativa más sencilla, puedes utilizar documentos ofimáticos estructurados para llevar el proceso. Una plantilla efectiva debería incluir:

  • Información del riesgo: Amenaza, vulnerabilidad, descripción corta y pilar comprometido (integridad, disponibilidad o confidencialidad).
  • Valoración inicial: Valores de impacto y probabilidad que permitan calcular el nivel de riesgo.
  • Tratamiento del riesgo: Opciones para aplicar controles, transferir, evitar o aceptar el riesgo.
  • Controles aplicados: Listado de controles del anexo A o ISO 27002, indicando si están implementados.
  • Clasificación de controles: Preventivos, detectivos o correctivos.
  • Valoración post-controles: Nuevos valores de impacto y probabilidad tras aplicar los controles.

Con ayuda del script en Python mencionado anteriormente, puedes determinar los nuevos valores de impacto y probabilidad, calculando así el riesgo residual después de aplicar los controles.

¿Por qué es crucial mantener un sistema de gestión de riesgos actualizado?

Mantener un sistema de gestión de riesgos actualizado no solo es un requisito de la norma ISO 27001, sino que proporciona beneficios tangibles para la organización. Un sistema bien estructurado permite:

  • Identificar proactivamente amenazas emergentes
  • Optimizar la asignación de recursos de seguridad
  • Demostrar cumplimiento ante auditorías externas
  • Mejorar la toma de decisiones basada en datos
  • Reducir el impacto potencial de incidentes de seguridad

La gestión de riesgos no debe verse como una tarea administrativa más, sino como un proceso estratégico que protege los activos de información críticos para el negocio.

La implementación de las herramientas y metodologías descritas mejorará considerablemente la gestión de riesgos en tu sistema, cumpliendo con los requerimientos de la norma ISO 27001. Te invitamos a compartir en los comentarios tu experiencia con la gestión de algún riesgo que hayas detectado en tu empresa, para enriquecer el aprendizaje colectivo sobre este tema fundamental.