En resumen, el propósito de ISO 27001 es bastante sencillo. Identifique los incidentes de seguridad que podrían afectar su negocio. Luego encuentre las mejores maneras de evitar que esos incidentes ocurran o reducir su impacto.
Las evaluaciones de riesgos son esenciales para ese propósito. Sin una, no tendrá el conocimiento necesario para construir un sistema de gestión de seguridad de la información seguro, y mucho menos obtener la certificación ISO 27001.
En esta publicación, describiremos el proceso paso a paso para completar una evaluación de riesgos ISO 27001.
Y compartiremos algunos consejos, plantillas y recursos para ayudar a simplificar y agilizar las cosas en el camino.
¿Qué es una evaluación de riesgos ISO 27001?
Una evaluación de riesgos es un requisito para la norma ISO 27001. Si desea obtener la certificación ISO 27001, necesitará:
- Identificar los riesgos a los que se enfrenta su organización
- Determinar la probabilidad de que cada riesgo ocurra realmente
- Estimar el impacto potencial en su negocio
Un plan de tratamiento de riesgos implica decidir cómo responderá a cada riesgo para mantener su negocio seguro.
Juntos, su evaluación de riesgos y su plan de tratamiento de riesgos constituyen su proceso general de gestión de riesgos ISO 27001.
Los requisitos de evaluación de riesgos ISO 27001 incluyen:
- Establecer criterios establecidos para evaluar el riesgo de seguridad de la información
- Identificar riesgos para todos los activos de información dentro del alcance del SGSI
- Asignar propietarios para cada riesgo
- Crear un proceso de evaluación de riesgos repetible y consistente
Lecturas Recomendadas
Costos de la certificación ISO 27001
Read MoreCómo hacer una evaluación de riesgos para ISO 27001
Para cumplir con los requisitos de certificación ISO 27001, su procedimiento de evaluación de riesgos ISO 27001 debe seguir estos pasos:
Elija su enfoque de gestión de riesgos
¿Cómo identificará y responderá al riesgo de seguridad de la información? ¿Cómo estimará la probabilidad e impacto? ¿Cuál es el nivel de riesgo aceptable de su empresa?
En general, hay dos enfoques para la evaluación de riesgos: cualitativo y cuantitativo.
Con un enfoque cualitativo, pasará por diferentes escenarios y responderá preguntas de “qué pasaría si” para identificar riesgos. Un enfoque cuantitativo utiliza datos y números para definir niveles de riesgo.
Algunos marcos comunes de gestión de riesgos incluyen ISO 27005:2018, OCTAVE y NIST SP 800-30 Revisión 1.
Sea cual sea el enfoque o metodología que elijas, la gestión de la empresa debe estar estrechamente involucrada en este proceso. Serán fundamentales para determinar los criterios de seguridad de base de tu organización y el nivel aceptable de riesgo.
Y al establecer tu metodología de gestión de riesgos a nivel empresarial, cada departamento podrá seguir el mismo proceso cohesivo.
Identificar riesgos
Comienza con una lista de activos de información y luego identifica los riesgos que podrían afectar la confidencialidad, integridad y disponibilidad de los datos para cada uno. Deberás considerar tu hardware (incluidos los dispositivos móviles), software, bases de datos de información y propiedad intelectual.
Analizar riesgos
Una vez que hayas identificado un conjunto de riesgos, determina la probabilidad potencial de que cada uno ocurra y su impacto en el negocio. Recuerda que el impacto no siempre es monetario: podría ser un impacto en la reputación de tu marca y relaciones con los clientes, un problema legal o contractual, o una amenaza para tu cumplimiento.
Asigna a cada riesgo una puntuación de probabilidad e impacto. En una escala del 1 al 10, ¿qué tan probable es que ocurra el incidente? ¿Qué tan significativo sería su impacto? Estas puntuaciones te ayudarán a priorizar los riesgos en el siguiente paso.
Evaluar y priorizar riesgos
Ningún negocio tiene recursos ilimitados. Deberás decidir a qué riesgos debes dedicar tiempo, dinero y esfuerzo, y cuáles entran dentro de tu nivel aceptable de riesgo.
Ahora que has analizado la probabilidad e impacto de cada riesgo, puedes usar esas puntuaciones para priorizar tus esfuerzos de gestión de riesgos. Una matriz de riesgos puede ser una herramienta útil para visualizar estas prioridades.
Completar un plan de tratamiento de riesgos
El plan de tratamiento de riesgos es un documento esencial para la certificación ISO 27001, y uno que tu auditor de certificación querrá revisar. Registra cómo tu organización ha decidido responder a las amenazas identificadas en tu evaluación de riesgos.
La norma ISO 27001 describe cuatro acciones posibles:
- Tratar el riesgo con controles de seguridad que reduzcan la probabilidad de que ocurra
- Evitar el riesgo previniendo las circunstancias donde podría ocurrir
- Transferir el riesgo con un tercero (es decir, externalizar los esfuerzos de seguridad a otra empresa, comprar un seguro, etc.)
- Aceptar el riesgo porque el costo de abordarlo es mayor que el daño potencial
ISO 27001 también requiere que cada riesgo tenga un propietario establecido. El propietario será responsable de aprobar tu plan de tratamiento para ese riesgo y aceptar cualquier riesgo residual.
Producir un informe de riesgos
Tu auditor de certificación probablemente querrá revisar evidencia de que has completado tu proceso de gestión de riesgos. Estos documentos pueden incluir un informe de evaluación de riesgos y un informe resumen de riesgos.
El informe de evaluación de riesgos ISO 27001 proporciona una visión general de tu proceso de evaluación de riesgos, incluyendo qué activos de información evaluaste, qué opción de tratamiento de riesgos seleccionaste para cada riesgo identificado, y las puntuaciones de probabilidad e impacto para cada uno.
El resumen de riesgos detalla los riesgos que tu organización está eligiendo abordar después de completar el proceso de tratamiento de riesgos.
Revisar y monitorear riesgos para mejorar el SGSI
La mejora continua es una de las ideas centrales de la norma ISO 27001. Necesitarás hacer de la realización de estas evaluaciones de riesgos un proceso continuo.
Monitorear y evaluar riesgos debe incorporarse en los hábitos diarios de tu equipo. Dicho esto, la frecuencia formal recomendada para la evaluación de riesgos ISO 27001 es una vez al año, idealmente cuando realices tu auditoría interna.
Los auditores internos deben considerar cualquier nuevo riesgo que haya surgido y evaluar qué tan bien está funcionando tu programa actual de gestión de riesgos para proteger tu SGSI.
Plantilla de evaluación de riesgos ISO 27001
Obtenga su copia de nuestra plantilla de evaluación de riesgos ISO 27001.
Esta hoja de cálculo editable lo guiará a través del proceso de creación de un registro de activos, asignación de propietarios de activos y riesgos, identificación y puntuación de riesgos, y selección de su tratamiento de riesgos. Incluye una matriz de riesgos incorporada que le ayudará a visualizar rápidamente los riesgos de alta prioridad y elaborar su plan de remediación.
Simplifique las evaluaciones de riesgos con Secureframe
¿Quiere evitar las hojas de cálculo?
Nuestra plataforma de automatización de cumplimiento lo guía a través del proceso de evaluación de riesgos y genera automáticamente un informe de preparación ISO 27001. Podrá ver exactamente qué tan cerca está de lograr la certificación y obtener consejos prácticos para cerrar cualquier brecha.
Solicite una demostración con uno de nuestros expertos en productos hoy mismo.