4 opciones de mitigación en el tratamiento de riesgos según ISO 27001 - Software ISO
contacto
SOFTWARE DE GESTIÓN PARA LA EXCELENCIA EMPRESARIAL Demo Login +34 957 102 000
Blog Calidad y Excelencia

4 opciones de mitigación en el tratamiento de riesgos según ISO 27001

Tratamiento de riesgos según ISO 27001

La evaluación de riesgos, a menudo llamada análisis o tratamiento de riesgos, es probablemente la parte más complicada de la implementación de la norma ISO 27001. Pero al mismo tiempo, el tratamiento de riesgos según ISO 27001, es la etapa más importante al inicio del proyecto de seguridad de la información.

La cuestión es, ¿por qué es tan importante?, la respuesta es muy elemental, aunque suele no ser entendida por muchas personas: la filosofía principal de ISO 27001 es identificar los incidentes que podrían ocurrir – evaluar los riesgos -, y encontrar las formas apropiadas para evitar tales incidentes. Esto es tratar los riesgos.

Pero no solo es esto. También es necesario evaluar los riesgos, determinando la importancia y el impacto de cada uno de ellos, de forma que se pueda definir cuáles son tolerables, cuáles son más importantes y cuáles pueden ser eliminados.

Aunque la evaluación y el tratamiento de riesgos – unidas estas acciones conforman la gestión -, son labores complejas, a menudo es cuestión de apelar a la lógica y establecer prioridades. ¿Cómo hacerlo?.

IC-ISO-CTA Boton ebook 27001 Y 22301

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en  Latinoamérica

4 opciones de mitigación en el tratamiento de riesgos según ISO 27001

Por supuesto que no todos los riesgos se generan de la misma forma y no todos tienen el mismo impacto. El objetivo del tratamiento de riesgos es determinar la importancia y el impacto del riesgo, y de esta forma, optar por una de las siguientes formas de mitigar.

Reducir el riesgo

Aplicar controles de seguridad, según el Anexo A, para reducir el riesgo. Es la opción más utilizada, e incluye la implementación de medidas de seguridad como cámaras de vigilancia, sensores de movimiento, de fuego, de humo, y por supuesto, instalación de firewall.

Compartir o transferir el riesgo

El ejemplo más común, es la suscripción de una póliza de seguros, con cobertura para el riesgo que se desea compartir. Contratar una compañía de seguridad, que asuma el compromiso de velar por la integridad de la información es otra forma de compartir el riesgo, cuando el contrato especifica una penalidad en caso de que se presente un incidente.

En cualquier caso, estas son medidas que no conjuran la ocurrencia del incidente, ya que tan solo se transfiere el riesgo financiero a otra organización, pero pueden resultar efectivas si se utilizan en conjunto con una o varias de las otras opciones de mitigación en el tratamiento de riesgos según ISO 27001.

4 opciones de mitigación en el tratamiento de #Riesgos según #ISO27001 #SGSI Clic para tuitear

Eliminar el riesgo

Se logra eliminando una actividad, un procedimiento o un proceso que puede ser la causa del incidente, o modificándolos de tal forma que se elimine el riesgo.

Un ejemplo de ello es el uso de ordenadores portátiles fuera de las instalaciones de la organización. Prohibir esta práctica, elimina la posibilidad de ocurrencia de muchos incidentes, generadores de riesgos de alto impacto.

Aceptar el riesgo

Cuando las acciones necesarias para eliminar un riesgo, tienen un coste demasiado alto – superior a las consecuencias previstas de la ocurrencia del incidente -, conviene pensar en la posibilidad de convivir con el riesgo, y minimizar su impacto.

Para estos casos, resulta ideal utilizar esta opción, en conjunto con la de compartir el riesgo, adquiriendo una póliza de seguros.

Estas son las opciones. Ahora, usted necesita ser creativo. ¿Cómo reducir los riesgos con el mínimo de inversión? Por supuesto, sí el presupuesto fuese ilimitado, las cosas serían mucho más fáciles. Eso nunca sucederá. En este punto, el compromiso de la Alta Dirección de la organización desempeña un papel muy importante, sobre todo en el tema de asignación de recursos.

La seguridad en la información tiene importancia capital para cualquier organización y para asegurar la continuidad del negocio en todo momento. Ahora tiene 4 opciones para el tratamiento de riesgos según ISO 27001. No olvide que puede hacer uso de una o todas, incluso algunas de ellas en conjunto.

ISOTools Excellence

La automatización en la implementación de Sistemas de Gestión de Seguridad de la Información, es posible gracias al software de ISOTools Excellence, que permite gestionar el tratamiento de riesgos según ISO 27001.

Si desea ampliar información sobre la evaluación de riesgos, no dude en solicitar que nuestros consultores expertos en la materia se pongan en contacto con usted y le ofrezcan un asesoramiento personalizado.

IC-ISO-CTA Tira ebook 27001 Y 22301

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en  Latinoamérica

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies
top