Gestión de Riesgos de la Información

por | May 20, 2021 | Gestión de la Seguridad

ISO 27001:2013 es la especificación reconocida internacionalmente para sustentar la implementación de un Sistema de gestión de seguridad de la información (SGSI) contemplando la Gestión de Riesgos de la Información.

La implementación de la Norma ISO 27001 muestra a todas las partes interesadas: la empresa, los clientes, los proveedores y a los organismos reguladores, que su organización se toma en serio la seguridad de la información.

Dichas organizaciones están comprometidas en realizar todo lo posible para reducir los riesgos identificados, a un nivel aceptable y gestionarlos de manera eficaz.

Metodología de Gestión de Riesgos

La metodología de gestión de riesgos de información consiste en los siguientes pasos.

Identificación de activos de información

  • Esta actividad es primordial, ya que permite identificar aquellos elementos que procesan, almacenan o poseen información.
  • También incluye la identificación de los propietarios de dichos activos de modo que se puedan designar responsables para mantener la protección de la información depositada en los mismos.

Identificación de Amenazas y Vulnerabilidades

  • A partir de la identificación de los activos de información será posible identificar las amenazas y vulnerabilidades que implican un riesgo para cada activo.

Ocurrencias de Riesgos y Nivel de Afectación operacional

  • La asignación de probabilidad de ocurrencia de los riesgos y el nivel de afectación para la operación del negocio es mandatorio considerarlo.
  • Una vez identificados los riesgos, será posible asignar una probabilidad de ocurrencia de dicho riesgo y con ello, el nivel de afectación para el negocio en términos operativos y financieros.

Prioridades del tratamiento de riesgos

  • Establecer las prioridades es igualmente importante.
  • Una vez establecidos los riegos, probabilidad de ocurrencia y niveles de afectación es posible asignar una prioridad para el tratamiento.

Identificación de tratamiento de riesgos

  • Establecida la prioridad será posible determinar los diferentes métodos para tratar los riesgos de acuerdo con la clasificación de controles de seguridad recomendada por la norma ISO 27001.

Elaboración de Declaración de Aplicabilidad

Debe de incluir la siguiente información:

  • Activos de información.
  • Propietarios.
  • Riesgos.
  • Niveles de afectación.

Las prioridades y tratamiento serán documentados en el documento conocido como “Declaración de Aplicabilidad” el cual es considerando como la piedra angular para la implementación del Sistema de Gestión de Seguridad de Información requerido por la norma ISO 27001

Plan de implementación de tratamiento de riesgos

  • La elaboración del plan se realiza con base a la Declaración de Aplicabilidad
  • Se elaborará un plan de implementación de tratamiento de riesgos que mostrará el camino para la implementación del Sistema de Gestión de Seguridad de la Información requerido por la norma ISO27001.

Como resumen podemos enunciar los beneficios de la Norma.

Ventajas de ISO 2700

Incluyen:

  • Reducir los riesgos de seguridad de la información y protección de datos de la organización,
  • Ayudar a atraer nuevos clientes y retener a los clientes existentes, ahorrar tiempo y recursos,
  • Mejorar la reputación y fortalecer la confianza en su organización.

Un sistema de gestión de seguridad de la información (SGSI) describe y demuestra el enfoque de una organización para la seguridad de la información.

Incluye cómo una organización identifica los riesgos y oportunidades que se relacionan con su información valiosa y los activos asociados y cómo los supera.

Si deseas conocer el grado de madurez en términos de la Seguridad de la Información, realiza un Cuestionario ISO 27001 en línea sin costo.

“Si se está buscando obtener la certificación ISO 27001, se espera que la empresa cumpla con todos los requisitos básicos de ISO 27001”

Uno de los requisitos centrales fundamentales es identificar, evaluar y tratar los riesgos de seguridad de la información.

A partir de ese proceso de gestión de riesgos de la información, se ayudará a determinar cuál de los controles del Anexo A de la norma ISO 27001 pueden ser aplicados en la gestión de esos riesgos orientados a la seguridad de la información.

En Services 4iT somos especialistas en la implementación de la norma ISO 27001 y colaboramos con las empresas para realizar los pasos iniciales requeridos para gestionar los riesgos de la información.
0 comentarios
Enviar un comentario

Tu dirección de correo electrónico no será publicada.

Tecnologías TIC Relacionadas

En otros artículos profundizaremos en cada una de las sub-cláusulas o subíndices , ubicando tecnologías TIC y recomendaciones.  Sin embargo, podemos adelantar que debes de considerar ahora mismo:

Como última recomendación, pero no menos importante que la tecnología apropiada, es buscar a Consultores especialistas en Tecnologías de Información que te apoyarán a facilitar el camino y marcar la diferencia.

conclusiones

Debido a los miles de ataques informáticos o Ciberataques, el Foro Económico Mundial ha determinado que la Ciberseguridad es un elemento que debe ser mandatorio en todas las organizaciones. La Ciberdelincuencia un riesgo para la Humanidad de proporciones semejantes a la falta de agua, clima, economía y pandemias.

Implementar planes basados en la Norma ISO 27001, Anexo A, 14 dominios y 114 Controles para la Protección de la Seguridad es una estrategia obligada para aquellas empresas que quieren preservarse en el mercado en base a su agilidad, flexibilidad y resiliencia.

En futuras publicaciones, abordaremos detalles específicos de los diferentes controles de seguridad y tecnologías asociadas.

No dejes de revisar nuestros artículos y suscríbete para recibir ideas de cómo proteger la información de tu empresa.

Cuestionario ISO 27001 en línea sin costo
Cuestionario ISO 27001 en línea sin costo

Artículos relacionados ISO 27001

Share This

Comparte

Con tus Colegas y Amigos