Mitigar riesgos en ISO 27001
Mitigar riesgos en ISO 27001 y en general el proceso de buscar tratamiento a los riesgos, que durante la fase de evaluación han sido identificados, es una de las partes más complejas de la Gestión de Riesgos en ISO 27001.
Mediante la fase de tratamiento buscamos mitigar riesgos en ISO 27001. Esto consiste en definir los controles para aquellos riesgos que hemos identificados en la evaluación de los mismos, buscando disminuir la probabilidad de que suceda el riesgo o al menos reducir los impactos que pudieran originar.
Partiendo de la base de que los recursos disponibles en las organizaciones son limitados, debemos comenzar centrando la atención en aquellos riesgos identificados como no aceptables, de manera que establezcamos un orden de prioridad a la hora de mitigar riesgos en ISO 27001.
Recomendamos la lectura de ¿Por qué las organizaciones necesitan certificar la ISO 27001?
Veamos a continuación, diferentes alternativas que tenemos para mitigar riesgos en ISO 27001.
4 opciones para mitigar riesgos en ISO 27001
Identificados los riesgos existentes de acuerdo a ISO 27001, el siguiente paso es definir la manera en que le daremos tratamiento a cada uno de ello. En este sentido, tenemos las siguientes opciones de tratamiento:
1.- Medidas para reducir el riesgo: Es una de las opciones más habituales y consiste en la implantación de controles con el objetivo de minimizar la probabilidad de que ocurra el riesgo, como por ejemplo sistemas para el control de incendios.
2.- Medidas enfocadas a evitar el riesgo: esta opción implica dejar de hacer ciertos procesos o determinadas tareas concretas que lleven implícitas riesgos considerados demasiados graves como para eliminarlos con cualquier opción de las disponibles. Por ejemplo, si para una organización el riesgo de acceder de manera no autorizada es algo considerado bastante grave, una medida orientada a evitar tal riesgo sería el hecho de restringir el uso de los portátiles fuera de las instalaciones de la organización.
3.- Medidas que buscan compartir el riesgo: esta opción contempla la transferencia de riesgo a otra parte. Esto vendría siendo el caso de cuando una organización contrata una póliza de seguro, trasladando de esta manera el riesgo económico a la compañía de seguros. Sin embargo el riesgo material no se traslada. Lo ideal sería combinar esta alternativa con alguna de los anteriores.
4.- Conservación del riesgo: es la última de las alternativas a las que recurriremos. Esta opción supone que nuestra organización ha asumido el hecho de aceptar el riesgo existente debido a que el coste de mitigar ese riesgo en concreto supone mayor esfuerzo tanto económico como material, que los daños que provocaría el mismo en caso de ocurrencia.
Como hemos mencionado, la alternativa más utilizada es la enfocada a la reducción de riesgos. Para tal efecto utilizaremos los controles definidos en el Anexo A de la norma ISO 27001.
Consideraciones previas a tratamiento de los riesgos
Antes de emprender todo proceso de definición de las medidas de tratamiento para los riesgos, debemos analizar una serie de cuestiones previas y que son de suma relevancia como son las siguientes:
- Conocer la Metodología que la organización ha definido para llevar a cabo la Gestión de Riesgos.
- Saber los Riesgos que la entidad ha establecido como inaceptables durante la fase de evaluación de riesgos.
- Estar al tanto del presupuesto anual que tenemos a disposición para mitigar riesgos en ISO 27001, dado que en función del mismo también influirá la elección de unas medidas u otras de tratamiento.
Cuando estás en el proceso de definir los controles a implantar tienes tres alternativas:
- La definición de nuevas reglas.
- El empleo de una tecnología nueva.
- La modificación de la estructura de la organización.
A la hora de tomar la decisión sobre qué medidas implementar para mitigar riesgos en ISO 27001, debes ser de lo más creativo posible, puesto que por lo general las primeras opciones que consideremos sean también las más costosas, pudiendo existir otras posibilidad que requieran de mayor imaginación que sean igual de eficaces y más económicas.
En relación con este artículo, te puede interesar 12 Beneficios de Implantar un SGSI de acuerdo a ISO 27001.
Software ISO 27001
A través de ISOTools Excellece las organizaciones pueden implementar de manera automatizada su Sistema de Gestión de la Seguridad de la Información. Éste ofrece, gracias a las diferentes funcionalidades que incorpora, una mayor seguridad de la información depositada en las organizaciones, aumentando, al mismo tiempo, la agilidad y eficiencia de su gestión.
¿Desea saber más?
Entradas relacionadas
Circular 3335 Al finalizar el año 2017 se publicó la circular 3335. La normativa de seguridad laboral entró…
Algunas cosas se pueden comprar sin hacer mayores preguntas. Un software para gestionar el Sistema de Cumplimiento no…
Hemos hablado de la importancia del plan de respuesta a emergencias, de las características que este documento debe…
La automatización del control de documentos es una necesidad apremiante para muchas organizaciones que, a diario, reciben y…