Implementación de controles y definición del plan de tratamiento de riesgos en un SGSI

Inicio / Implementación de controles y definición del plan de tratamiento de riesgos en un SGSI

5/5 - (1 voto)

Índice de contenidos

Controles en un SGSI

Con el objetivo de que cada riesgo identificado previamente quede cubierto y pueda ser auditable, la norma ISO 27001 establece en su última versión: ISO/IEC 27001:2013 hasta 113 controles en un SGSI (en la versión anterior del 2005 eran 133).

Los 113 controles en un SGSI están divididos por grandes objetivos:

Políticas de seguridad de la información.
Controles operacionales.

Cada empresa, según su parecer, puede añadir más puntos de control si lo considera conveniente, así como personalizarlos para adaptarlos a su propio Plan de Control Operacional, pero siempre deben estar alineados a lo que pide la norma.

Una vez realizado el análisis, se debe definir un plan de tratamiento o esquema de mejora, en el que se tengan en cuenta las distintas consecuencias potenciales de esos riesgos, estableciendo una criticidad para cada uno de ellos y así poder evaluar con objetividad las diferentes amenazas.

Formas de afrontar el riesgo

Una empresa puede afrontar el riesgo básicamente de tres formas diferentes: eliminarlo, mitigarlo o trasladarlo.

1. Eliminar el riego

Si el riesgo es muy crítico, hasta el punto de que pueda poner en peligro la propia continuidad de la organización, esta debe poner todos los medios para tratar de eliminarlo, de manera que haya una posibilidad cero de que la amenaza se llegue realmente a producir.

2. Mitigarlo

En la gran mayoría de ocasiones no es posible llegar a la eliminación total del riesgo, ya sea porque es imposible técnicamente o bien porque la empresa decida que no es un riesgo suficientemente crítico. Cuando se dan estos casos la organización puede aceptar el riego, ser consciente de que la amenaza para la información existe y dedicarse a monitorearlo con el fin de controlarlo.

Definitivamente, se trata de implantar las medidas preventivas o correctivas necesarias con el fin de reducir la posibilidad de ocurrencia o el impacto de riesgo.

3. Trasladarlo

Esta opción está relacionada con la contratación de algún tipo de seguro que compense las consecuencias económicas de una pérdida o deterioro de la información.

Sea cual sea el plan de tratamiento elegido por la empresa, la gestión de riesgos debe garantizar a la organización la tranquilidad de tener suficientemente identificados los riesgos y los controles pertinentes, lo cual le va a permitir actuar con eficacia ante una eventual materialización de los mismos.

En cualquier caso, a la hora de elegir una u otra opción, la empresa debe mantener el equilibrio entre el costo que tiene una actividad de control, la importancia del activo de la información para los procesos de la empresa y el nivel de criticidad del riesgo.

Con el fin de que cada riesgo quede identificado y pueda ser auditable, la norma #ISO27001 establece en su última versión hasta 113 controles en un SGSI.

Click To Tweet

Establecimiento de un rango para cada control

A cada punto de control se le debe asociar un rango o factor determinado. Por ejemplo, el acceso a un área segura podría dividirse en:

Rango 1. No hay establecida ninguna medida de seguridad.

Rango 2. Existe alguna medida de seguridad, pero no se ha establecido una pauta concreta ni periodicidad.

Rango 3. Existen una serie de medidas establecidas, pero no se ha determinado una evaluación de las mismas.

Rango 4. Los controles en un SGSI tienen establecidos una periodicidad, evaluación y seguimiento.

Rango 5. Son actividades ligadas al propio negocio, es decir, se trata de un factor interno de la empresa que lo gestiona y está implementada dentro de la propia organización.

La empresa debe decidir qué tipo de rango necesita para cada control con el fin de asegurar la seguridad de la información, teniendo en cuenta que los controles de carácter preventivo son más eficaces que los correctivos.

Por ejemplo, es más seguro instalar un dispositivo que controle la temperatura (saltará la alarma antes de que se produzca un posible incendio) que tener un sistema anti incendio que avisa cuando ya hay humo (la situación peligrosa ya ha empezado a producirse).

Todos estos controles en un SGSI siguen un ciclo de mejora continua, vinculados al plan de tratamiento de riesgos y asociados a la evaluación de los mismos para el cálculo del riesgo residual, que es el riesgo bruto mitigado por los controles.

Mediante el proceso de mejora continua es posible comprobar la eficacia de los controles o si es necesario cambiar de rango o factor de seguridad. Realizando las modificaciones que sean necesarias.

Los controles en un SGSI están incluidos en el anexo A de la norma ISO 27001. Su nivel de detalle y especificidad los diferencian de los existentes en otras normas, que tienen un carácter más generalista y transversal.

La Plataforma ISOTools facilita la automatización de los controles en un SGSI

La ISO 27001 para los SGSI es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

ISOTools también permite aplicar los requisitos de otras normas de Seguridad de la Información como PMG SSI de los Servicios Públicos de Chile, entre otros.

Este software permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 e ISO 45001 de una forma sencilla, gracias a su estructura modular.