{"id":789,"date":"2016-02-15T11:00:07","date_gmt":"2016-02-15T10:00:07","guid":{"rendered":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/?p=789"},"modified":"2023-12-26T17:34:31","modified_gmt":"2023-12-26T16:34:31","slug":"apreciacion-de-riesgos-y-oportunidades-iso-270012013","status":"publish","type":"post","link":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/apreciacion-de-riesgos-y-oportunidades-iso-270012013\/","title":{"rendered":"Apreciaci\u00f3n de riesgos y oportunidades: ISO 27001:2013"},"content":{"rendered":"<p>El tema que nos ocupa hoy es la visi\u00f3n que da la norma ISO 27001:2013 en materia de <strong>an\u00e1lisis de riesgos<\/strong>. Un tema que ya desarrollaba la norma ISO 27001:2007 pero que ha sufrido algunos cambios relevantes.<\/p>\n<p>Como apunte complementario, pese a que las referencias son a la norma ISO 27001:2013, para aquellos que deseen acceder a su versi\u00f3n en castellano, decir que su nomenclatura correcta es <strong>UNE-ISO (IEC 27001:2014)<\/strong> y que ya est\u00e1 disponible para su adquisici\u00f3n.<\/p>\n<p>En esencia, las modificaciones efectuadas <strong>no son excesivas<\/strong>, ya que la idea fundamental de un an\u00e1lisis de riesgos sigue estando vigente, es decir, <strong>efectuar una valoraci\u00f3n<\/strong> lo m\u00e1s objetiva posible de las amenazas que pueden afectar a la organizaci\u00f3n y que, en el caso de que estas se materializaran, <strong>estimar el impacto<\/strong> que podr\u00eda ocasionar a los activos de la organizaci\u00f3n y la prestaci\u00f3n de los servicios, tanto cr\u00edticos como de apoyo y soporte.<\/p>\n<p>Como bien conocemos, la norma ISO 27001, en sus dos versiones, hace referencia a la <strong>aplicaci\u00f3n de controles y salvaguardas<\/strong>&nbsp;que deben implementarse para que el impacto de las amenazas se vea reducido respecto de la confidencialidad, integridad y disponibilidad, que son las <strong>bases de la seguridad<\/strong>.<\/p>\n<p>Expuesto el escenario general, quiero&nbsp;explicar las novedades de la norma ISO 27001:2013 respecto&nbsp;al an\u00e1lisis de riesgos:<\/p>\n<ul>\n<li><strong>Referencia al alcance\/contexto de la organizaci\u00f3n<\/strong><\/li>\n<\/ul>\n<p>La medici\u00f3n de los riesgos obtenidos y sus oportunidades de mejora debe hacer referencia espec\u00edficamente al <strong>contexto<\/strong> de la organizaci\u00f3n y a los <strong>requisitos<\/strong> a cumplir por parte de la empresa, accionistas, partes interesadas y el entorno de la misma. Tambi\u00e9n se deben&nbsp;tener&nbsp;en cuenta las <strong>expectativas generadas<\/strong> en la organizaci\u00f3n, as\u00ed como las necesidades de las partes interesadas o <i>stakeholders<\/i>.<\/p>\n<p>Es decir,&nbsp;el an\u00e1lisis de las organizaciones <strong>no debe ser gen\u00e9rico<\/strong>, sino espec\u00edfico para cada sector (por ejemplo, no es lo mismo los riesgos que pueden afectar al sector energ\u00e9tico que al sector de las telecomunicaciones) y efectuar acciones concretas para el <strong>tratamiento<\/strong> y <strong>reducci\u00f3n<\/strong> de dichos riesgos, m\u00e1s a\u00fan con la nueva incorporaci\u00f3n de la gesti\u00f3n de infraestructuras cr\u00edticas y sistemas SCADA.<\/p>\n<p>Estos sistemas obligan a implementar en las organizaciones&nbsp;sistemas de <strong>detecci\u00f3n temprana<\/strong> y <strong>respuesta<\/strong> a las autoridades de control de las incidencias.<\/p>\n<ul>\n<li><strong>Oportunidades y apreciaci\u00f3n de riesgos<\/strong><\/li>\n<\/ul>\n<p>La organizaci\u00f3n no s\u00f3lo debe centrarse en los riesgos encontrados, sino que el&nbsp;an\u00e1lisis de riesgos debe ser&nbsp;la base para cumplir con el <strong>objetivo de mejora continua<\/strong> y, en caso de detecci\u00f3n de anomal\u00edas o malfuncionamientos en la operaci\u00f3n, corregirlo e implementar acciones para evitar posibles amenazas en el proceso.<\/p>\n<p>Adem\u00e1s, esto puede ser de utilidad a la hora de&nbsp;<strong>revisar los sistemas<\/strong> o procesos en los cuales se puedan encontrar oportunidades de mejora, independientemente de si los riesgos identificados pueden implicar un fallo del servicio o merma de la calidad de la prestaci\u00f3n del mismo.<\/p>\n<ul>\n<li><strong>Enfoque a procesos<\/strong><\/li>\n<\/ul>\n<p>La apreciaci\u00f3n de riesgos debe ser sistematizada y <strong>orientada a procesos<\/strong>, es decir, que integrarlos&nbsp;en el d\u00eda a d\u00eda de la organizaci\u00f3n. Esto no implica que las&nbsp;apreciaciones de riesgos deban hacerse a diario, pero s\u00ed tener estos aspectos en cuenta, <strong>reportando a los responsables<\/strong> de Seguridad, para que en sus revisiones peri\u00f3dicas&nbsp;pongan dichas incidencias sobre la mesa. El objetivo es la mejora de los procesos en los que se detectaron las desviaciones u oportunidades de mejora.<\/p>\n<ul>\n<li><strong>Concepto de \u00abdue\u00f1os\u00bb de los riesgos<\/strong><\/li>\n<\/ul>\n<p>En la apreciaci\u00f3n de riesgos y su posterior evaluaci\u00f3n deben determinarse los responsables que se van a encargar de <strong>dirigir y controlar las acciones de mejora<\/strong> (es decir, la aplicaci\u00f3n e implementaci\u00f3n de los controles del Anexo A de la norma ISO 27001:2013) para que exista una trazabilidad y no se detecten riesgos que luego no vayan a ser tratados, controlados y evaluados. De ah\u00ed la figura del <strong>responsable del riesgo<\/strong> o \u00abdue\u00f1o\u00bb del riesgo.<\/p>\n<ul>\n<li><strong>Criterios de aceptaci\u00f3n de riesgos<\/strong><\/li>\n<\/ul>\n<p>Este aspecto ya se inclu\u00eda en la ISO 27001:2007 y la ISO 27001:2013 se encarga de reforzarlo, obligando a la alta direcci\u00f3n a <strong>establecer los criterios<\/strong> o l\u00edmites para el tratamiento de riesgos, por lo que aquellos riesgos que superen el umbral objetivo marcado, deber\u00e1n ser tratados o gestionados.<\/p>\n<ul>\n<li><strong>Tratamiento de riesgos<\/strong><\/li>\n<\/ul>\n<p>Puede tomarse como referencia el Anexo A ISO 27001:2013 que incluye un listado de controles que sirven para orientarse en las posibles acciones a efectuar para reducir los riesgos. Estas acciones pueden formar parte de un plan m\u00e1s complejo, llamado \u00ab<strong>Plan de Tratamiento de Riesgos<\/strong>\u00bb el cual debe contener todas las acciones planificadas, con sus due\u00f1os y responsables en los que se intenta, mediante <strong>salvaguardas t\u00e9cnicas<\/strong> u organizativas, reducir el posible impacto de las amenazas sobre los activos de informaci\u00f3n.<\/p>\n<p>Este plan de tratamiento de riesgos toma gran importancia. Es el origen de la eliminaci\u00f3n de las conocidas como \u00ab<strong>Acciones preventivas<\/strong>\u00bb ya que el plan de tratamiento de riesgos aglutina todas estas actuaciones y se pueden considerar como acciones preventivas en s\u00ed, ya que los riesgos a\u00fan no se han materializado. Este plan de tratamiento de riesgos <strong>debe ser aprobado<\/strong> por Direcci\u00f3n.<\/p>\n<ul>\n<li><strong>Declaraci\u00f3n de aplicabilidad<\/strong><\/li>\n<\/ul>\n<p>Por \u00faltimo, y tambi\u00e9n referenciado en la anterior ISO 27001:2007, la Declaraci\u00f3n de aplicabilidad es otro de los aspectos que ganan en importancia y relevancia. \u00c9sta incorpora todos los controles implementados y, por tanto, es un aspecto que no debe ser pasado por alto, ya que proporciona una <strong>gu\u00eda para la apreciaci\u00f3n y gesti\u00f3n de riesgos y oportunidades<\/strong>. Se remarca la exigencia, por parte de la norma ISO 27001:2013, de a\u00f1adir en la misma las inclusiones y justificarlas, as\u00ed como las exclusiones y decisiones de por qu\u00e9 se han omitido los controles.<\/p>\n<p>Por \u00faltimo, se\u00f1alar que dicha Apreciaci\u00f3n de Riesgos y Oportunidades debe mantenerse como <strong>informaci\u00f3n documentada<\/strong> por parte de la organizaci\u00f3n para futuras revisiones o bien como prueba para auditor\u00edas de seguimiento.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>El tema que nos ocupa hoy es la visi\u00f3n que da la norma ISO 27001:2013 en materia de an\u00e1lisis de riesgos. Un tema que ya desarrollaba la norma ISO 27001:2007 pero que ha sufrido algunos cambios relevantes. Como apunte complementario, pese a que las referencias son a la norma ISO 27001:2013, para aquellos que deseen [&hellip;]<\/p>\n","protected":false},"author":92,"featured_media":8511,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"om_disable_all_campaigns":false,"_genesis_hide_title":false,"_genesis_hide_breadcrumbs":false,"_genesis_hide_singular_image":false,"_genesis_hide_footer_widgets":false,"_genesis_custom_body_class":"","_genesis_custom_post_class":"","_genesis_layout":"","footnotes":""},"categories":[336],"tags":[55,53],"class_list":{"0":"post-789","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-seguridad","8":"tag-calidad","9":"tag-iso-27001","10":"entry"},"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/posts\/789","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/users\/92"}],"replies":[{"embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/comments?post=789"}],"version-history":[{"count":0,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/posts\/789\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/media\/8511"}],"wp:attachment":[{"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/media?parent=789"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/categories?post=789"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/tags?post=789"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}