Evaluación y Tratamiento de Riesgos.
Pasos en la evaluación y tratamiento de riesgos, ISO/IEC 27001:2022 es un estándar que ínsita a la organización a identificar los incidentes que pueden ocurrir y que pueden representar un riesgo para la seguridad de la información.
1 y 2. Establecer un marco de gestión de riesgos
Se trata de definir las reglas que regirán la gestión de riesgos. Se determina, entre otras cuestiones, quiénes serán los responsables de las tareas de gestión, los métodos de estimación del impacto y la probabilidad de ocurrencia de los posibles riesgos.
En este sentido, una metodología de evaluación de riesgos debe abordar cuatro temas:
- Cómo serán los criterios de seguridad.
- Qué escala de riesgo se empleará.
- Cuál es el apetito de riesgo de la organización.
- La evaluación de riesgos basada en activos.
3. Identificar los riesgos
La identificación de los riesgos que pueden afectar la confidencialidad, integridad y disponibilidad de la información, es la tarea más larga del proceso de evaluación y tratamiento de riesgos en ISO/IEC 27001:2022. Se recomienda optar por un proceso de evaluación de riesgos basado en activos.
Desarrollar una lista de activos de información es un buen punto de partida. Será más fácil comenzar la labor a partir de una lista existente de copias impresas de información, archivos electrónicos, dispositivos móviles e intangibles, etc.
4. Analizar los riesgos
En primer lugar se han de establecer las amenazas y debilidades de cada activo. Por ejemplo, la amenaza puede ser “el robo de un dispositivo móvil” y la debilidad asociada es que “no existe una política establecida con respecto al uso de tales dispositivos”. Lo siguiente es asignar un impacto y un valor de probabilidad de acuerdo con los criterios que se hayan establecido en el paso 1.
5. Evaluar los riesgos
Un siguiente paso es la evaluación. En ella, se deberá medir cada uno de los riesgos frente a sus niveles predeterminados de aceptabilidad. Tras eso, se determinará qué riesgos serán abordados y se priorizará en qué orden.
La norma sugiere que la evaluación de riesgos debe llevarse a cabo en intervalos planeados. Esto significa que la organización debe determinar la frecuencia de las evaluaciones de riesgos según sus necesidades y contexto específico.
La elección del intervalo dependerá de varios factores, como la velocidad de cambio en la organización, la naturaleza de los activos de información, las amenazas emergentes y otros factores ambientales. Puede ser anual, semestral o en otro intervalo que la organización considere apropiado.
6. Seleccionar opciones de tratamiento de riesgo
En este punto, retomamos las cuatro opciones de la gestión de riesgos clásica, utilizada en gestión de la calidad, de la seguridad y salud en el trabajo o del medio ambiente:
- Evitar el riesgo eliminándolo por completo.
- Modificar el riesgo, poniendo en marcha controles de seguridad.
- Compartir el riesgo o trasladarlo a un tercero.
- Retener el riesgo, solo si se trata de un nivel aceptable.
7. Aceptación del riesgo
La aceptación del riesgo se produce cuando una empresa o un individuo reconoce que la pérdida potencial de un riesgo no es lo suficientemente grande como para justificar el gasto de dinero para evitarlo. También se conoce como «retención del riesgo», es un aspecto de gestión del riesgo que se encuentra comúnmente en los campos de negocios o inversiones.
- Aceptar el riesgo, o retención de riesgos, es una estrategia consciente de reconocer la posibilidad de riesgos pequeños o poco frecuentes sin tomar medidas para cubrir, asegurar o evitar esos riesgos.
- El fundamento de la aceptación de riesgos es que los costos de mitigar o evitar los riesgos son demasiado grandes para justificarlos dadas las pequeñas probabilidades de un peligro, o el pequeño impacto estimado que puede tener.
- El autoseguro es una forma de aceptación de riesgos. El seguro, por otro lado, transfiere el riesgo a un tercero.