tratamiento de riesgos segun ISO 27001

4 opciones de mitigación en el tratamiento de riesgos según ISO 27001

Inicio / 4 opciones de mitigación en el tratamiento de riesgos según ISO 27001

Tratamiento de riesgos según ISO 27001

La evaluación de riesgos, a menudo llamada análisis o tratamiento de riesgos, es probablemente la parte más complicada de la implementación de la norma ISO 27001. Pero al mismo tiempo, el tratamiento de riesgos según ISO 27001, es la etapa más importante al inicio del proyecto de seguridad de la información.

La cuestión es, ¿por qué es tan importante?, la respuesta es muy elemental, aunque suele no ser entendida por muchas personas: la filosofía principal de ISO 27001 es identificar los incidentes que podrían ocurrir – evaluar los riesgos -, y encontrar las formas apropiadas para evitar tales incidentes. Esto es tratar los riesgos.

Pero no solo es esto. También es necesario evaluar los riesgos, determinando la importancia y el impacto de cada uno de ellos, de forma que se pueda definir cuáles son tolerables, cuáles son más importantes y cuáles pueden ser eliminados.

Aunque la evaluación y el tratamiento de riesgos – unidas estas acciones conforman la gestión -, son labores complejas, a menudo es cuestión de apelar a la lógica y establecer prioridades. ¿Cómo hacerlo?.

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en Latinoamérica

4 opciones de mitigación en el tratamiento de riesgos según ISO 27001

Por supuesto que no todos los riesgos se generan de la misma forma y no todos tienen el mismo impacto. El objetivo del tratamiento de riesgos es determinar la importancia y el impacto del riesgo, y de esta forma, optar por una de las siguientes formas de mitigar.

Reducir el riesgo

Aplicar controles de seguridad, según el Anexo A, para reducir el riesgo. Es la opción más utilizada, e incluye la implementación de medidas de seguridad como cámaras de vigilancia, sensores de movimiento, de fuego, de humo, y por supuesto, instalación de firewall.

Compartir o transferir el riesgo

El ejemplo más común, es la suscripción de una póliza de seguros, con cobertura para el riesgo que se desea compartir. Contratar una compañía de seguridad, que asuma el compromiso de velar por la integridad de la información es otra forma de compartir el riesgo, cuando el contrato especifica una penalidad en caso de que se presente un incidente.

En cualquier caso, estas son medidas que no conjuran la ocurrencia del incidente, ya que tan solo se transfiere el riesgo financiero a otra organización, pero pueden resultar efectivas si se utilizan en conjunto con una o varias de las otras opciones de mitigación en el tratamiento de riesgos según ISO 27001.

4 opciones de mitigación en el tratamiento de #Riesgos según #ISO27001 #SGSI Clic para tuitear

Eliminar el riesgo

Se logra eliminando una actividad, un procedimiento o un proceso que puede ser la causa del incidente, o modificándolos de tal forma que se elimine el riesgo.

Un ejemplo de ello es el uso de ordenadores portátiles fuera de las instalaciones de la organización. Prohibir esta práctica, elimina la posibilidad de ocurrencia de muchos incidentes, generadores de riesgos de alto impacto.

Aceptar el riesgo

Cuando las acciones necesarias para eliminar un riesgo, tienen un coste demasiado alto – superior a las consecuencias previstas de la ocurrencia del incidente -, conviene pensar en la posibilidad de convivir con el riesgo, y minimizar su impacto.

Para estos casos, resulta ideal utilizar esta opción, en conjunto con la de compartir el riesgo, adquiriendo una póliza de seguros.

Estas son las opciones. Ahora, usted necesita ser creativo. ¿Cómo reducir los riesgos con el mínimo de inversión? Por supuesto, sí el presupuesto fuese ilimitado, las cosas serían mucho más fáciles. Eso nunca sucederá. En este punto, el compromiso de la Alta Dirección de la organización desempeña un papel muy importante, sobre todo en el tema de asignación de recursos.

La seguridad en la información tiene importancia capital para cualquier organización y para asegurar la continuidad del negocio en todo momento. Ahora tiene 4 opciones para el tratamiento de riesgos según ISO 27001. No olvide que puede hacer uso de una o todas, incluso algunas de ellas en conjunto.

ISOTools Excellence

La automatización en la implementación de Sistemas de Gestión de Seguridad de la Información, es posible gracias al software de ISOTools Excellence, que permite gestionar el tratamiento de riesgos según ISO 27001.

Si desea ampliar información sobre la evaluación de riesgos, no dude en solicitar que nuestros consultores expertos en la materia se pongan en contacto con usted y le ofrezcan un asesoramiento personalizado.

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en Latinoamérica
Nueva llamada a la acción

¿Desea saber más?

Entradas relacionadas

Esquema Nacional De Seguridad (ENS)
Esquema Nacional de Seguridad (ENS): la importancia de la auditoría
24 abril, 2024
En un mundo donde la información es un activo de gran valor, la seguridad cibernética es una prioridad...
Ver más
Lean Six Sigma
Integración de Lean Six Sigma y Normas ISO para la Excelencia Operativa
23 abril, 2024
La búsqueda constante de la excelencia operativa es fundamental para el éxito a largo plazo...
Ver más
Pensamiento Estrategico
¿Cómo integrar el Pensamiento Estrategico con la Norma ISO 45001?
22 abril, 2024
Integrar el Pensamiento Estrategico con la Norma ISO 45001 es esencial para que las organizaciones...
Ver más
50 Excelentes De ISOTools
Ya puedes leer los 50 Excelentes de ISOTools en 2023
19 abril, 2024

Nos complace presentaros una vez más los 50 excelentes de ISOTool...

Ver más

Volver arriba