ILISO27001_T019 6.1.3 Tratamiento de riesgos de S.I

Plataformas de Aprendizaje Autodirigido

6.1.3 Tratamiento de riesgos de S.I.

Requisito.

La organización define y aplica un proceso de tratamiento de riesgos de seguridad de la información.

Todos los pasos del proceso de tratamiento de riesgos de seguridad de la información, así como los resultados deben ser conservados por la organización como información documentada.

Orientación sobre opciones de tratamiento de riesgos de seguridad de la información.

Cada riesgo individual debe ser tratado de acuerdo con los objetivos de seguridad de la información por uno o más de estas opciones, con el fin de cumplir con los criterios de aceptación del riesgo.

5. Tratamiento del riesgo.

El tratamiento de riesgos de seguridad de la información es el proceso global de selección de opciones de tratamiento de riesgos, determinación de controles apropiados para implementar estas opciones, formulación de un plan de tratamiento de riesgos y la obtención de aprobación del plan de tratamiento de riesgos por parte de los propietarios del riesgo.

Las opciones de tratamiento de riesgos son:

    1. Evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el riesgo o eliminando la fuente de riesgo (por ejemplo, cerrando un portal de comercio electrónico);
    2. Asumir riesgos adicionales o aumentarlos para aprovechar una oportunidad de negocio (por ejemplo, abrir un portal de comercio electrónico);
    3. Modificar el riesgo cambiando la probabilidad (por ejemplo, reduciendo las vulnerabilidades) o las consecuencias (por ejemplo, diversificar activos) o ambos;
    4. Compartir el riesgo con otras partes mediante seguros, subcontratación o financiación de riesgos; y
    5. Retener el riesgo basándose en los criterios de aceptación del riesgo o mediante una decisión informada (por ejemplo, mantener el portal de comercio electrónico existente tal como está).

¿Riesgo = Incertidumbre?

Es la potencialidad que una amenaza explote las vulnerabilidades de los A.I., se convierta en un desastre y afecten los objetivos de la Organización (económicas, ambientales, imagen, reputación, sociales).

Puede ser positivo o negativo.

Tratamiento del Riesgo: Es una práctica metodológica y sistemática que se ejecuta para identificar, medir, clasificar y definir las procedimientos, políticas y acciones.

 

Orientación para determinar los controles necesarios.

Se debe prestar especial atención a la determinación de los controles necesarios de seguridad de la información.

  • Cualquier control debe determinarse con base en los riesgos de seguridad de la información previamente evaluados.
  • Si una organización tiene una mala evaluación de riesgos de seguridad de la información, tiene una base pobre para su elección de controles de seguridad de la información.

Una determinación de control adecuada garantiza:

  • Que incluya los controles necesarios y no elija controles innecesarios; el diseño de los controles necesarios satisface una amplitud y profundidad apropiadas.

Como consecuencia de una mala elección de controles, el tratamiento de riesgos de seguridad de la información propuesto puede ser ineficaz o ineficiente y, por tanto, costosos.

Al determinar los controles, la organización también debe tener en cuenta los controles necesarios para servicios de proveedores externos de aplicaciones, procesos y funciones. Normalmente, estos controles están obligados a introducir requisitos de seguridad de la información en los acuerdos con estos proveedores, incluyendo formas de obtener información sobre en qué medida se cumplen estos requisitos.

Puede haber situaciones en las que la organización desee determinar y describir controles detallados siendo parte de su propio SGSI aunque los controles sean realizados por proveedores externos.

Independientemente del enfoque adoptado, la organización siempre debe considerar los controles necesarios en sus proveedores para su SGSI.

6.- Definir controles.

Para asegurar que el tratamiento de riesgos de seguridad de la información sea eficaz y eficiente, es importante estar en capacidad de demostrar la relación entre los controles necesarios y los resultados de los procesos de valoración y tratamiento de riesgos.

Puede ser necesario usar múltiples controles para lograr el tratamiento requerido del riesgo de seguridad de la información. Por ejemplo, si se escoge la opción de cambiar las consecuencias de un evento particular, se pueden requerir controles para detectar con prontitud el evento y controles para responder y recuperarse del evento.

Orientación sobre la comparación de controles con los de ISO IEC 27001:2022, Anexo A.

ISO/IEC 27001:2022, Anexo A contiene una lista completa de objetivos y controles de control.

Líderes implementadores de ISO IEC 27001:2022 pueden identificar controles alternativos que pueden ser más efectivos en modificar el riesgo de seguridad de la información.

Los controles enumerados en la ISO IEC 27001:2022 Anexo A no son exhaustivos y los objetivos y controles de control adicionales deben agregarse según sea necesario.

No es necesario incluir todos los controles dentro de ISO IEC 27001:2022, Anexo A, no obstante, cualquier control dentro de ISO/IEC 27001:2022, Anexo A que no contribuya a modificar el riesgo puede excluirse pero debe justificarse la exclusión.

 

7.- Comparar controles.

La organización debe garantizar que no se pasen por alto ningún control necesario comparándolos con ISO/IEC 27001:2022, Anexo A.

 

 

Orientación sobre la elaboración de una Declaración de Aplicabilidad.

El SoA contiene:

  • todos los controles considerados como necesarios para la organización y, para cada control:
    • la justificación de la inclusión del control; y
    • si el control está implementado, completamente implementado, en progreso, o aún no comienza; y
    • la justificación para excluir cualquiera de los controles de la norma ISO IEC 27001: 2022, anexo A.

La justificación para incluir un control:

  • se basa en parte en el efecto del control al modificar una información de riesgo de seguridad.
  • una referencia a los resultados de la evaluación de riesgos de seguridad de la información y la seguridad de la información.
  • el plan de tratamiento de riesgos debe ser suficiente, junto con la modificación del riesgo de seguridad de la información esperada mediante la aplicación de los controles necesarios.

La justificación para excluir un control puede incluir lo siguiente:

  • se ha determinado que el control no es necesario para implementarse.
  • el control no es aplicable porque está fuera del alcance del SGSI.
  • se evita mediante un control personalizado.

NOTA:

    • Un control personalizado es un control no incluido en ISO/IEC 27001:2022, Anexo A.
    • Se puede producir un SoA útil como una tabla que contiene los 93 controles de la ISO IEC 27001:2022,
    • Anexo A con los controles adicionales que no se mencionan en la ISO IEC 27001:2022.

Una columna de la tabla puede indicar si es necesario implementar un control o no e incluir las opciones de tratamiento de riesgo, una siguiente columna puede contener la justificación de la inclusión o exclusión, y una última columna de la tabla puede indicar el estado actual de implementación del control. Se pueden utilizar columnas adicionales, para detalles no requeridos por ISO IEC de cómo se realiza el control implementado o una referencia cruzada a una descripción más detallada e información documentada o políticas relevantes para implementar el control o responsabilidades para la operación de cada control.

8.- Generar SoA.

La comparación de los controles con los de ISO IEC 27001:2022, Anexo A del paso anterior debe realizarse contra la declaración de aplicabilidad (SoA) ya que este contiene todos los controles considerados como necesarios para la organización, si el control está implementado o no y la justificación de la inclusión o exclusión.

 

Declaración de Aplicabilidad (Statement of Applicability –SoA).

Orientación sobre la formulación de un plan de tratamiento de riesgos de seguridad de la información.

La norma ISO IEC 27001 no especifica una estructura o contenido para el plan tratamiento de riesgos de seguridad de la información, sin embargo, el plan debe formularse a partir de los resultados del paso anterior. Por lo tanto, el plan debe documentar para cada riesgo tratado:

  • opciones de tratamiento seleccionadas;
  • controles necesarios; y
  • estado de implementación.

Otro contenido útil puede incluir:

  • propietario(s) del riesgo; y
  • riesgo residual esperado tras la ejecución de las acciones. Riesgo residual: riesgo remanente después del tratamiento del riesgo, es decir; es aquel que persiste aun después de tomar las medidas necesarias para tratar los riesgos identificados.

Si el plan de tratamiento de riesgos requiere alguna acción, entonces se debe planificar indicando responsabilidades y plazos.

 

9.- Plan de tratamiento. 

Diseñar un plan de tratamiento de riesgo.

 

 

 

Plan de tratamiento de riesgos.

 

Orientación sobre cómo obtener la aprobación de los propietarios de riesgos.

Cuando se formula el plan de tratamiento de riesgos de seguridad de la información, la organización debe obtener la autorización de los propietarios del riesgo. Dicha autorización debe basarse en una aceptación de riesgo definida, criterios o concesión justificada si se desvían de ellos.

A través de sus procesos de gestión, la organización debe registrar la aceptación del riesgo por parte del propietario del riesgo residual y aprobación por la dirección del plan.

Por ejemplo, la aprobación del propietario de este riesgo se puede documentar modificando el plan de tratamiento de riesgos por columnas que indican la efectividad del control, el valor residual riesgo y la aprobación del propietario del riesgo.

error: El contenido esta protegido