Nueva evaluación del riesgo según la ISO 27001:2013

ISO 27001:2013

¿Se tiene una política formal y se han adoptado controles adecuados para la protección de riesgos? ¿Cuánto pagaría la competencia por su información confidencial? ¿Su base de datos está protegida?

Para poder responder a estas preguntas de manera contundente, y poder protegernos de forma óptima hacia todos los ataques en cuanto a seguridad de la información, tenemos que tener muy presente en nuestra organización norma ISO 27001.

Esta norma supone que los riesgos en seguridad de la información son controlados por parte de la organización de una forma eficiente, tanto para la propia empresa en sí, como para el resto de empresas del entorno.

La causa del artículo de hoy está sostenida en la próxima actualización de la norma, de la cual hablábamos en nuestro blog el pasado mes de marzo, señalando diversos cambios que se llevaran a cabo con respecto a la norma ISO 27001: 2005.

Cabe señalar que el borrador ya ha salido publicado, pero mucho tememos que la versión oficial no la podremos tener hasta mediados del segundo trimestre del año.

Aunque como he referenciado anteriormente, se escribió un artículo de la norma, hemos considerado necesario, dedicarle un artículo a uno de los aspectos más interesantes en cuanto a cambios que se van a producir de cara a próximos meses, más concretamente estamos hablando de la nueva metodología que a partir de ahora va a suponer la Evaluación de los Riesgos.

Antes de señalar dichos cambios queremos recordarle como se está realizando esta valoración del riesgo hoy en día conforme la ISO 27001:2005:

La evaluación de riesgos debe ser comprobada en intervalos planeados y revisar riesgos residuales y los niveles de riesgo aceptables que han sido identificados, todo ello teniendo presente los cambios en:

• Organización
• Objetivos empresariales
• Factores externos
• Tecnología
• Amenazas identificadas
• Controles implementados

Una gestión eficaz de la evaluación de riesgos de la seguridad de la información permite garantizar:

• Confidencialidad
• Integridad
• Disponibilidad

La evaluación de riesgos debe cerciorar que la evaluación de riesgos que generan resultados comparables y reproducibles.

Una vez explicado, puntualmente, el formato actual de la evaluación de riesgos, pasaremos a describir que cambios se han producido en este campo de la norma, cabe señalar que no son riesgos demasiados drásticos, pero que sí cobran gran importancia para nosotros.

Los activos, vulnerabilidades y las amenazas ya no son la base de la evaluación de riesgos. Solo se solicita para identificar los riesgos asociados con la Confidencialidad, Integridad y Disponibilidad. La norma permite mayor libertad en la forma en que se identifican los riesgos.

El concepto de la determinación del nivel de riesgo con base en consecuencias y probabilidad sigue siendo el mismo y en contraposición el concepto de propietario de los activos se ha ido.

Añadir que la metodología de evaluación del riesgo no necesita ser documentada, aunque sí debe ser previamente definido el proceso de evaluación

Por último, comentar el nacimiento de nuevo término “risk owners”,  por lo que el nivel de responsabilidad es empujado hacia un nivel más alto.

Software para ISO 27001

Desde ISOTools contamos con experiencias y soporte suficiente para adaptarnos a los nuevos cambios con el software para ISO 27001, por ellos estamos tranquilos de que nuestros clientes van a seguir teniendo una confianza del 100% en nosotros.

ISOTools es la plataforma tecnológica necesaria para la mejora continua  en empresas comprometidas con lograr una ventaja competitiva en el sector con el que se desarrollan.