FISO27001_T006 Planificar

Plataformas de Aprendizaje Autodirigido

Planificar.

Debemos definir el alcance del Sistema de Gestión según la norma, es decir, definir los términos de negocio, la organización, la localización de esta, los activos y la tecnología con la que cuenta, además de establecer la justificación necesaria de cualquier exclusión.

Hay que definir perfectamente una política en la que se incluyen:

  • El marco general y los objetivos que persigue la empresa.
  • Los requerimientos legales que afectan a la organización.
  • Debe estar alineada con el contexto estratégico de gestión de riesgos que tenga implantado la organización, gracias al que se establecerá y mantendrá el Sistema de Gestión.
  • Deben quedar claros cuáles serán los criterios a seguir a la hora de evaluar los diferentes riesgos.
  • Finalmente, debe estar aprobada por la alta dirección de la organización.

Durante este paso del ciclo también debemos definir la metodología de evaluación de riesgos que sea más apropiada para el Sistema de Gestión y todos los requerimientos que tenga el negocio, también hay que establecer todos los criterios sobre la aceptación del riesgo y especificar cuáles serán los niveles de riesgo aceptables. Lo principal que debemos tener en cuenta es que los resultados que obtengamos se puedan comparar y se puedan repetir.

Para poder identificar los riesgos debemos:

  • Identificar los activos que se encuentran al alcance del Sistema de Gestión y los responsables directos de estos.
  • Conocer las amenazas en relación con los activos.
  • Determinar cuáles son las vulnerabilidades que pueden ser aprovechadas por las amenazas.
  • Identificar los impactos que se pueden generar en la confidencialidad, la integridad y la disponibilidad de los activos.

Tenemos que realizar un análisis y una evaluación de riesgos:

  • Hay que evaluar el impacto que puede causar en el negocio un fallo en la seguridad que suponga la pérdida de datos confidenciales, la disponibilidad de un activo de información, etc.
  • Se debe estimar el nivel de riesgo.
  • Conocer si el riesgo es aceptable o no según los criterios de aceptación que hayan sido previamente establecidos.

Hay que identificar y evaluar todas las opciones de tratamiento de riesgos para poder:

  • Aplicar los controles adecuados.
  • Aceptar el riesgo, siempre que se cumplan todos los requisitos en las políticas.

Se debe aprobar por parte de la alta dirección de la organización los riesgos residuales y la implantación del Sistema de Gestión.

© 2025 Tzaloa.