6.1 Acciones para Tratar Riesgos y Oportunidades.
La ISO IEC 27001:2022 en su cláusula 6.1 se ocupa de la planificación de acciones para abordar todo tipo de riesgos y oportunidades que son relevantes para el SGSI, esto incluye la evaluación de riesgos y la planificación de riesgos y su tratamiento.
La estructura de la ISO IEC 27001:2022 subdivide los riesgos en dos categorías durante la planificación:
-
- riesgos y oportunidades relevantes para los resultados previstos del SGSI en su conjunto; y
- riesgos de seguridad de la información que se relacionan con la pérdida de confidencialidad, integridad y disponibilidad de información dentro del alcance del SGSI.
La primera categoría debe manejarse de acuerdo con los requisitos especificados en la ISO IEC 27001:2022, cláusula 6.1.1. Los riesgos que entran en esta categoría pueden ser riesgos relacionados con el propio SGSI, el alcance del SGSI, el compromiso de la alta dirección con la seguridad de la información, los recursos para operar el SGSI,
Las oportunidades que caen en esta categoría pueden ser oportunidades relacionadas con los resultados del SGSI, el valor comercial de un SGSI, la eficiencia de los procesos e información operativos del SGSI, controles de seguridad, etc.
La segunda categoría consiste en todos los riesgos que se relacionan directamente con la pérdida de confidencialidad, integridad y disponibilidad de información dentro del alcance del SGSI. Estos riesgos deben manejarse de acuerdo con la cláusula 6.1.2 (evaluación de riesgos de seguridad de la información) y 6.1.3 (tratamiento de riesgos de seguridad de la información).
Las organizaciones pueden optar por utilizar diferentes técnicas para cada categoría, la subdivisión de requisitos para abordar los riesgos se puede explicar de la siguiente manera:
- Fomenta la compatibilidad con otros estándares de sistemas de gestión para esas organizaciones que cuentan con sistemas de gestión integrados para diferentes aspectos como calidad, medio ambiente y seguridad de información.
- Requiere que la organización defina y aplique procesos completos y detallados para la información, evaluación y tratamiento de riesgos de seguridad; y
- Enfatiza que la gestión de riesgos de seguridad de la información es el elemento central de un SGSI.
Requisito.
Al planificar el SGSI, la organización determina los riesgos y oportunidades considerando cuestiones mencionadas en 4.1 y requisitos mencionados en 4.2.
Explicación.
La organización planifica su SGSI para:
a) Garantizar que el SGSI entregue los resultados previstos, que los riesgos de seguridad de la información sean conocidos por los propietarios del riesgo y tratados a un nivel aceptable;
Los riesgos relacionados podrían ser procesos y responsabilidades poco claros, falta de conciencia entre empleados, falta de compromiso por parte de la dirección, etc.
b) Prevenir o reducir los efectos no deseados de los riesgos relevantes para los resultados previstos del SGSI; y los riesgos relacionados podrían ser riesgos de deficiente gestión o escasa conciencia de los riesgos.
c) Lograr una mejora continua, mediante mecanismos adecuados para detectar y corregir debilidades en los procesos de gestión o aprovechar oportunidades de mejora en la seguridad de información. Los riesgos relacionados podrían ser una mala gestión de la documentación y procesos del SGSI.
Cuando una organización busca oportunidades en sus actividades, estas actividades afectan el contexto de la organización (cláusula 4.1) o las necesidades y expectativas de las partes interesadas (cláusula 4.2), y puede cambiar los riesgos para la organización.
Ejemplos de tales oportunidades puede ser: centrar su negocio en algunas áreas de productos o servicios, establecer una estrategia de marketing para algunas regiones geográficas, o ampliar asociaciones comerciales con otras organizaciones.
También existen oportunidades en la mejora continua de los procesos y la documentación del SGSI, junto con la evaluación de los resultados previstos entregados por el SGSI. Por ejemplo, la consideración de un SGSI relativamente nuevo a menudo da como resultado la identificación de oportunidades para refinar los procesos al aclarar interfaces, reduciendo la sobrecarga administrativa, eliminando partes de los procesos que no son rentables, perfeccionando la documentación e introduciendo nuevas tecnologías de la información.
La planificación incluye la determinación de
- Acciones para abordar los riesgos y oportunidades; y
- La forma de integrar e implementar estas acciones en los procesos del SGSI; y evaluar la efectividad de estas acciones.
Guía.
La organización debe:
Determinar riesgos y oportunidades que pueden afectar el logro de las metas considerando las cuestiones mencionadas en 4.1 y los requisitos mencionados en 4.2; y desarrollar un plan para implementar las acciones determinadas y evaluar su efectividad.
Las acciones deben planificarse considerando la integración de los procesos de seguridad de la información y documentación en estructuras existentes; todas estas acciones están vinculadas con la seguridad de la información contra los cuales se evalúan y tratan los riesgos de seguridad de la información.
Las acciones requeridas pueden ser diferentes para niveles estratégicos, tácticos y operativos, para diferentes sitios, o para diferentes servicios o sistemas. Se pueden adoptar varios enfoques:
- Considerar los riesgos y oportunidades asociados con la planificación, implementación y operación del SGSI por separado de los riesgos de seguridad de la información; y
- Considerar todos los riesgos simultáneamente.
Una organización que está integrando un SGSI en un sistema de gestión establecido puede encontrar que los requisitos de 6.1.1 se cumplen mediante la metodología de planificación empresarial existente de la organización. Si este es el caso, se debe tener cuidado de verificar que la metodología cubra todos los requisitos.
La información documentada sobre esta actividad y su resultado es obligatoria sólo en la forma y medida que la organización considere necesaria para la eficacia de su sistema de gestión.
Metodología.
Establecimiento del Contexto.
La Organización articula sus objetivos y define componentes externos e internos a considerar para establecer el alcance y los criterios de desempeño del riesgo.