| 25 años generando CONFIANZA
ISO 27001
El Plan de Gestión de Riesgos o Plan de Tratamiento de Riesgos se define en el punto 4.2.2 de la ISO 27001.
Es un documento que define claramente cómo se va a actuar en el control de los riesgos. Para ello deberemos identificar los recursos necesarios para implantar los controles seleccionados y determinar cómo se va a medir su eficacia.
Este plan establece claramente los recursos, las responsabilidades y las prioridades establecidas derivadas de la evaluación de riesgos.
Gestionar riesgos consiste principalmente en tomar decisiones con respecto a los distintos riesgos de acuerdo con la estrategia de la organización.
Obtenidos los niveles de riesgo para cada activo, hay que decidir si son aceptables o no, según el criterio fijado previamente. Si no lo son, hay que evaluar cómo se van a tratar esos riesgos:
Mitigar el riesgo. Es decir, reducirlo, mediante la implementación de controles que disminuyan el riesgo hasta un nivel aceptable.
Asumir el riesgo. La dirección tolera el riesgo, ya que está por debajo de un valor de riesgo asumible o bien porque no se puede hacer frente razonablemente a ese riesgo, por costoso o por difícil.
Transferir el riesgo a un tercero. Por ejemplo, asegurando el activo que tiene el riesgo o subcontratando el servicio. Aun así, evidenciar que la responsabilidad sobre el activo permanece en manos de la organización y tener en cuenta que hay daños, como los causados a la reputación de la organización, que difícilmente son cubiertos por ningún seguro.
Eliminar el riesgo. Aunque no suele ser la opción más viable, ya que puede resultar complicado o costoso.
También se pueden acometer estrategias que contemplen 2 o más de estos elementos. Por ejemplo, un sistema muy crítico y con mucho riesgo puede decidirse a aplicar controles que mitiguen el riesgo en aspectos operativos cotidianos y subcontratar los cambios con lo que se transferirá parte del riesgo al contratista.
Es necesario recordar que los elementos de toma de decisión para administrar los riesgos deben estar definidos en la política de seguridad de la información.
Tomadas las decisiones sobre los riesgos, se precisa establecer el plan de implementación de dichas decisiones a través de los controles y medidas pertinentes.
Una parte importante es la medición de la eficacia de los controles. Por cada control debemos establecer una serie de registros, métricas e indicadores para valorar la efectividad de los mismos y cómo disminuyen los valores de riesgo. La futura Norma ISO 27004 contemplará en exclusiva la implantación de métricas e indicadores de progreso y eficacia.
[/sociallocker]ISOTools le proporciona el sistema de gestión para la automatización de todos estos procesos relativos a la ISO27001, así como la consultoría para la implantación del sistema. Del mismo modo, con un sistema de gestión, se consigue la integración de la norma ISO 27001 con el resto de normativas implantadas en la organización como la ISO 9001, 14001, etc.
¿Desea saber más?
Entradas relacionadas
En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La estructura de ISO 42001 es la acostumbrada por ISO para sus estándares certificables, y con posibilidad de…