miércoles, 10 de febrero de 2016

Las normas ISO y los riesgos - Parte I

En artículos anteriores, hemos hablado sobre las normativas de la familia 27K: seguridad de la información, su historia y origen. En la presente serie, presentaremos las normas ISO relacionadas con los riesgos, controles e indicadores de gestión y el tratamiento para cada caso.

En estos dos primeros artículos expondremos los riesgos y sus normas asociadas, tanto para la seguridad de la información, como para el resto de las nuevas versiones de las normas ISO. Para ello, debemos saber que las normas relacionadas con sistemas de gestión han incorporado el concepto de riesgo en sus últimas versiones, inclusive la popular ISO 9001:2015 de calidad. El significado, es similar en los distintos casos.

Específicamente, las normas relacionadas con riesgos son:

En la versión 2013 de la ISO 27001 (vigente en la versión de IRAM en Argentina desde 2015) se menciona el tema que nos ocupa en las siguientes secciones y/o cláusulas:

· 8.2 Evaluación del riesgo a la seguridad de la información

· 8.3 Tratamiento del riesgo a la seguridad de la información

Dichas cláusulas definen lo siguiente:

“8.2 Evaluación del riesgo a la seguridad de la información
La organización debe realizar evaluaciones del riesgo a la seguridad de la información a intervalos planificados o cuando se propongan u ocurran cambios significativos, teniendo en cuenta los criterios establecidos en 6.1.2).
La organización debe conservar información documentada sobre los resultados de las evaluaciones del riesgo a la seguridad de la información.”

“8.3 Tratamiento del riesgo a la seguridad de la información
La organización debe implementar el plan de tratamiento del riesgo a la seguridad de la información.
La organización debe conservar información documentada sobre los resultados del tratamiento del riesgo a la seguridad de la información.”

La evaluación del riesgo es una actividad obligatoria que debe ser registrada adecuadamente y, en la misma, debe estar involucrada la alta dirección de la organización y/o entidad.

Asimismo, se define como obligatoria la instrumentación de un plan de tratamiento de los riesgos detectados que debe ser registrado convenientemente y, además, debe realizarse un seguimiento de las acciones que se van a realizar.

Algunas de las metodologías de riesgos que pueden utilizarse son:

  • Magerit
  • ARO
  • OCTAVE

Dado que las normas no fijan metodologías obligatorias, algunas empresas deciden utilizar las propias, modificando las ya existentes y utilizadas internacionalmente.

Para finalizar esta entrega, comparto dos links que pueden ayudarlos a entender los dos conceptos más importantes en riesgos:

· Análisis y valoración de riesgos. Metodologías.

· Gestión y tratamiento de los riesgos.


¡Hasta la próxima!


Autora:
Ing. Lic. Marcela Meyorin Lorenzo
IT Infraestructure & Security