El Plan de Gestión de Riesgos según la norma ISO 27001

Obtenidos los niveles de riesgo para cada activo, hay que decidir si son aceptables o no, según el criterio fijado previamente. Si no lo son, hay que evaluar cómo se van a tratar esos riesgos:

Mitigar el riesgo. Es decir, reducirlo, mediante la implementación de controles que disminuyan el riesgo hasta un nivel aceptable.

Asumir el riesgo. La dirección tolera el riesgo, ya que está por debajo de un valor de riesgo asumible o bien porque no se puede hacer frente razonablemente a ese riesgo, por costoso o por difícil.

Transferir el riesgo a un tercero. Por ejemplo, asegurando el activo que tiene el riesgo o subcontratando el servicio. Aun así, evidenciar que la responsabilidad sobre el activo permanece en manos de la organización y tener en cuenta que hay daños, como los causados a la reputación de la organización, que difícilmente son cubiertos por ningún seguro.
Eliminar el riesgo. Aunque no suele ser la opción más viable, ya que puede resultar complicado o costoso.

También se pueden acometer estrategias que contemplen 2 o más de estos elementos. Por ejemplo, un sistema muy crítico y con mucho riesgo puede decidirse a aplicar controles que mitiguen el riesgo en aspectos operativos cotidianos y subcontratar los cambios con lo que se transferirá parte del riesgo al contratista.

Es necesario recordar que los elementos de toma de decisión para administrar los riesgos deben estar definidos en la política de seguridad de la información.

Tomadas las decisiones sobre los riesgos, se precisa establecer el plan de implementación de dichas decisiones a través de los controles y medidas pertinentes.

Una parte importante es la medición de la eficacia de los controles. Por cada control debemos establecer una serie de registros, métricas e indicadores para valorar la efectividad de los mismos y cómo disminuyen los valores de riesgo. La futura Norma ISO 27004 contemplará en exclusiva la implantación de métricas e indicadores de progreso y eficacia.