4 elementos para el tratamiento de riesgos según la ISO 27001

5/5 - (2 votos)

La ISO 27001 es la norma de referencia para la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) en una empresa. Se trata de una normativa esencial para las políticas de Ciberseguridad de las organizaciones, ya que permite garantizar la seguridad de los datos que se manejan, ya sean datos de empleados, clientes o proveedores. Uno de los elementos clave de este estándar es la Gestión de Riesgos asociadas a la seguridad de la información. Por ello, es importante que el experto en Ciberseguridad conozca los elementos imprescindibles para el tratamiento de riesgos según ISO 27001.

Cómo tratar el riesgo aplicando la ISO 27001

A la hora de proteger la seguridad de la información según la ISO 27001, el primer paso es realizar un análisis de riesgos y ciberamenazas a los que se enfrenta una organización.  Una vez identificados dichos riesgos, la siguiente etapa consistirá en realizar un tratamiento de los mismos. Para ello, hay que tener en cuenta los siguientes elementos.

1. Elegir una opción de tratamiento de los riesgos digitales

Con los riesgos digitales identificados se pueden llevar a cabo varias acciones. Una opción es reducirlos. Es decir, implementar un control para que la probabilidad o el impacto del riesgo se reduzca, aunque siga existiendo. También se puede optar por evitar el riesgo. Por ejemplo, si se tiene un sistema obsoleto como Windows 98, plagado de vulnerabilidades, y ese sistema tiene información de la empresa, una solución sería extraer toda esa información y meterla en un sistema que no sea obsoleto. Otras opciones son transferir el riesgo a una empresa externa (como puede ser una entidad aseguradora), o asumirlo. En este último caso, la empresa asume las consecuencias de que el riesgo se materialice, aunque al menos es consciente de que el riesgo existe.

2. Los controles de seguridad según la ISO 27001

Otro elemento a tener en cuenta en la Gestión de Riesgos digitales es la aplicación de los controles del Anexo A de la ISO 27001. El único anexo que tiene este estándar internacional cuenta con un total de 114 controles de seguridad. De esta forma, la empresa sólo tiene que buscar el sistema de control que le puede ayudar a reducir el riesgo, e implementarlo. Para ello, la intervención de los expertos en Ciberseguridad e ISO 27001 será fundamental.

3. Implementar la declaración de aplicabilidad SOA

La declaración de aplicabilidad SOA (Statement of Applicability) es un documento fundamental y obligatorio dentro de la implementación de la 27001. Se trata de un documento, por lo general, en formato Excel, que contiene todos los controles del estándar, (recogidos en el Anexo A) y en el que se indica, para cada control, si se aplica o no dentro del SGSI. Un tipo de control, por ejemplo, es el del teletrabajo. Si la empresa no lleva a cabo esta actividad, tendrá que indicar en su documento que no aplica.

4. El plan de tratamiento de riesgos

Dentro del tratamiento de riesgos hay que incluir el propio plan de tratamientos de riesgos según la ISO 27001. Se trata una planificación de las acciones que se van a llevar a cabo para implementar los controles que se necesiten. Para su elaboración, es necesario detallar unas fases, unos recursos a utilizar, así como etapas, acciones y plazos para su ejecución. En la siguiente imagen puedes ver un ejemplo de un plan de tratamiento de riesgos ISO 27001.

Máster en Ciberseguridad y Riesgos Digitales de EALDE Business School

El tratamiento de riesgos de seguridad de la información es abordado en profundidad en el  Máster en Ciberseguridad y Riesgos Digitales de EALDE Business School. Se trata de un máster online que capacita para liderar planes de Gestión de Riesgos asociados a las nuevas tecnologías en todo tipo de organizaciones.

Puedes conocer el plan de estudios del Máster en Ciberseguridad y Riesgos Digitales haciendo clic en el siguiente apartado:

Puedes ampliar información sobre la ISO 27001 en el siguiente vídeo:

logo EALDE Business School
Máster en Ciberseguridad

Fórmate con los mejores profesionales del sector

Infórmate aquí
Descarga este eBook gratis

El rol del Big Data en la Ciberseguridad

Entradas recientes

Principales problemas de ciberseguridad asociados a los NFTs

¿Existen problemas de ciberseguridad dentro del mundo NFTs? Al tratarse de una tecnología nueva que de por sí está incompleta y que, a su vez, se desarrolla en base a distintos estándares elaborados por diferentes organismos y entidades alrededor del mundo, la...

La demanda de talento en Ciberseguridad doblará a la oferta en 2024

Varios estudios prevén que la demanda de talento en ciberseguridad seguirá superando al número de profesionales cualificados hasta el fin de la actual década. Según la CNN, hay más de 3 millones de empleos vacantes en ciberseguridad a nivel global, muchos de ellos en...

Sobre el autor

EALDE Business School nace con vocación de aprovechar al máximo las posibilidades que Internet y las nuevas tecnologías brindan a la enseñanza. Ofrece a sus alumnos la posibilidad de cursar, desde el lugar en el que se encuentren, estudios de posgrado en materia de gestión de empresas de la misma forma que harían si los cursos se siguiesen presencialmente en una escuela tradicional.
Logo EALDE

Posts relacionados

Logo EALDE

Se el primero en comentar

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.