Apreciación de Riesgos y Oportunidades - ISO 27001:2013

El tema que nos ocupa hoy es la visión que la norma ISO 27001:2013 le da al apartado de análisis de riesgos que la norma ISO 27001:2007 desarrollaba. Por cierto y como apunte complementario, pese a que las referencias se hacen a la norma ISO 27001:2013, para aquellos que deseen acceder a su versión en castellano, decir que su nomenclatura correcta es UNE-ISO (IEC 27001:2014) y que ya está disponible para su adquisición.

En esencia, las modificaciones efectuadas no son excesivas, ya que la idea fundamental sigue estando vigente, es decir, efectuar una valoración lo más objetiva posible de las amenazas que pueden afectar a la organización y que, en el caso de que estas se materializaran, estimar el impacto que podría ocasionar a los activos de la organización.

Como bien conocemos, la norma ISO 27001 en sus dos versiones, hacen referencia a la aplicación de controles y salvaguardas (las incluidas en el Anexo A) que deben implementarse para que el impacto de las amenazas se vea reducido en un porcentaje respecto de la confidencialidad, integridad y disponibilidad, que son las bases de la seguridad. No entramos a efectuar diferenciaciones entre trazabilidad, ya que podría derivarse de alguna de las tres vertientes anteriores.

Expuesto el escenario general, se puede desgranar cada uno de los detalles que se establecen como nuevos o diferenciadores respecto de la anterior versión:

• Referencia al alcance/contexto de la organización

 Las mediciones de los riesgos obtenidos y sus oportunidades de mejora deben hacer referencia específicamente al contexto de la organización y a los requisitos a cumplir, respecto de la organización, accionistas, partes interesadas y el entorno de la misma. También deben tenerse en cuenta las expectativas generadas en la organización, así como las necesidades de las partes interesadas.
Con ello se hace referencia a que el análisis de las organizaciones no deben ser genéricos, sino específicos para cada sector (por ejemplo no es lo mismo los riesgos que pueden afectar al sector energético que al sector telecomunicaciones) y efectuar acciones para el tratamiento y reducción de dichos riesgos.

• Oportunidades y apreciación de riesgos

La organización no sólo debe centrarse en los riesgos encontrados, sino que este análisis o apreciación de riesgos deben entenderse como la base para dar cumplimiento al objetivo de mejora continua y si en caso de detección de anomalías o malfuncionamientos en la operación, corregirlo e implementar acciones de mejora para evitar la materialización de posibles amenazas en el proceso.

• Enfoque a procesos

La apreciación de riesgos debe ser sistematizada y orientada a procesos, es decir, que se integre en el día a día de las operaciones de la organización. Esto no quiere indicar que se hagan apreciaciones de riesgos continuadas o semanales, pero sí tener estos aspectos en cuenta reportando a los Responsables de Seguridad o departamento que conforman parte del Comité de Seguridad, para que en sus revisiones trimestrales, semestrales o anuales, pongan dichas incidencias sobre la mesa para la mejora de los procesos en los que se detectaron las desviaciones u oportunidades de mejora.

• Concepto de "dueños" de los riesgos

En la apreciación de riesgos y su posterior evaluación, deben determinarse los responsables que se van a encargar de dirigir y controlar las acciones de mejora (es decir, la aplicación e implementación de los controles del Anexo A de la norma ISO 27002:2013) para que exista una trazabilidad y no se detecten riesgos que luego no vayan a ser tratados, controlados y evaluados. De ahí la figura del responsable del riesgo o "dueño" del riesgo.

• Criterios de aceptación de riesgos

Este aspecto ya se incluía en la ISO 27001:2007 y se refuerza en la ISO 27001:2013, en el que Dirección debe establecer los criterios o límites para el tratamiento de riesgos, por lo que aquellos riesgos que superen el umbral objetivo marcado, deberán ser tratados o gestionados.

• Tratamiento de riesgos

Puede tomarse como referencia el Anexo A ISO 27001:2013, en el que se dispone un listado de controles que sirven para orientarse en las posibles acciones a efectuar para reducir los riesgos (pueden incluirse acciones adicionales además de las referidas en este Anexo A). Estas acciones pueden formar parte de un plan más complejo, llamado "Plan de Tratamiento de Riesgos" el  cual debe contener todas las acciones planificadas, con sus dueños y responsables en los que se intenta mediante salvaguardas técnicas u organizativas, reducir el posible impacto de las amenazas sobre los activos de información. Este plan de tratamiento de riesgos toma su importancia ya que es el origen de la eliminación de las conocidas como "Acciones preventivas" ya que el plan de tratamiento de riesgos aglutina todas estas actuaciones, y se pueden considerar como acciones preventivas en sí ya que los riesgos aún no se han materializado. Este plan de tratamiento de riesgos debe ser aprobado
por Dirección.

• Declaración de aplicabilidad

Por último, y también referenciado en la anterior ISO 27001:2007, es otro de los aspectos que ganan en importancia y relevancia. La Declaración de aplicabilidad lista todos los controles implementados, y por tanto, es un aspecto que no debe ser pasado por alto, ya que proporciona una guía para la apreciación y gestión de riesgos y oportunidades. Se remarca la exigencia por parte de la norma ISO 27001:2013 de incluir en la misma las inclusiones y justificarlas, así como las exclusiones y decisiones de porqué se han omitido los controles.

Como se aprecia, los cambios no son excesivos, pero sí que conviene tenerlos en cuenta a la hora de implementar este apartado de Apreciación de Riesgos y Oportunidades, que debe ser información documentada por parte de la organización.

Espero que les haya sido de ayuda.

Saludos.