Plan de Tratamiento de Riesgos.
Describe cómo la organización planea gestionar los riesgos identificados en la evaluación de riesgos.
Estrategias:
- Eliminar: Cancelo la actividad que genera el riesgo.
- Transferir: Comparto el riesgo con partes externas (compra de un seguro o tercerización de servicios).
- Asumir: Se asume o retiene el riesgo en su nivel actual.
- Mitigar: Implemento controles para reducir el nivel de riesgo.
A pesar del plan de tratamiento de riesgos de seguridad de la información, es un trabajo complejo ya que a menudo se tejen mitos innecesarios. Se exponen 6 pasos básicos para la realización del plan de tratamiento de riesgos de seguridad de la información de una manera sencilla:
1. Metodología de evaluación del riesgo.
Es el primer paso de la gestión de riesgos. Se necesita definir las reglas para llevar a cabo la gestión de riesgo, el principal problema del plan de tratamiento de riesgos de seguridad de la información es que la organización lo ejecute de diferente forma en distintas partes de la organización.
Se necesita definir una evaluación cualitativa o cuantitativa del riesgo, cuáles son las escalas que se utiliza durante la evaluación cualitativa, conocer cuál será el nivel aceptable de riesgo, etc.
2. Implantación de la evaluación del riesgo
Una vez que se conocen las reglas, se puede comenzar localizando los problemas potenciales que pueden ocurrir. Es necesario realizar un listado de todos los recursos, de las amenazas y vulnerabilidades que se relacionan con los recursos, evaluar el impacto y la probabilidad de ocurrencia para cada combinación de recursos, amenazas, vulnerabilidades y finalmente se debe calcular el nivel de riesgo.
3. Implementar el tratamiento del riesgo.
No todos los riesgos tienen el mismo origen, se debe enfocar en los más importantes, los llamados riesgos no aceptables.
Existen cuatro opciones que puede escoger para mitigar el riesgo no aceptable.
- Aplicar controles de seguridad obtenidos del Anexo A para disminuir el riesgo.
- Transferir el riesgo a otras personas, es decir, comprando un seguro con una compañía aseguradora.
- Evitar riegos al detener la ejecución de la actividad que genera un elevado riesgo, o al hacerla de forma diferente.
- Aceptar el riesgo, por ejemplo, si el costo de atenuación es mayor que el daño en sí mismo.
Es necesario ser creativo para minimizar el riesgo con una mínima inversión. Sería mucho más fácil si el presupuesto fuese ilimitado, pero eso nunca pasará. Es posible conseguir el mismo resultado con menos dinero, pero se debe averiguar cómo hacerlo.
4. Reporte de la evaluación del riesgo en el Sistema de Gestión de Seguridad de la Información.
Al contrario que en los pasos anteriores, este es algo más tedioso ya que es necesario documentar todo lo que se ha hecho hasta ahora.
5. Declaración de aplicabilidad.
Este documento muestra el perfil de seguridad de la empresa, basado en los resultados del tratamiento de riesgos, necesita realizar un listado de todos los controles que se han implementado, por qué se implementó y cómo se hizo. Este documento también es muy importante porque el auditor de certificación lo utilizará como su guía principal durante la auditoría.
6. Plan para el tratamiento de riesgos.
Este es el paso en el que tiene que moverse de la teoría a la práctica. Hasta este momento el trabajo del plan de tratamiento de riesgos de seguridad de la información ha sido teórico, pero en este momento en donde se deben mostrar los resultados.
Este es el propósito del plan de tratamiento de riesgos de seguridad de la información, es decir, definir de forma exacta quien va a implantar cada control, cuándo, con qué presupuesto cuenta, etc. Es preferible llamar a este documento “plan de implementación” o “plan de acción”, pero se debe utilizar la terminología de la norma ISO 27001.
Una vez que se ha escrito este documento, es crucial que se obtenga la aprobación de la dirección, ya que llevará tiempo y esfuerzo para implantar todos los controles que ha planificado.