sábado, 22 de julio de 2017

LOS RIESGOS, OPORTUNIDADES Y LA MEJORA EN LA NORMA ISO 27001:2014

Estándar
Logo

La gestión de los distintos riesgos y oportunidades y la utilización de las herramientas eficaces para la mejora continua son esenciales para garantizar que la Norma ISO 27001 funciona correctamente.

Por Ana Rojo  |28 Junio, 2017
En anteriores artículos he hablado del papel que ocupan en la Norma ISO 27001:2014 aspectos como el contexto, alcance, política, responsabilidades, comunicación y gestión de recursos, sin embargo falta por tratar brevemente dos conceptos esenciales, como son:
  • los riesgos y las oportunidades;
  • la mejora continua, y las herramientas para conseguirla.
Para ello voy a tomar como referencia la publicación “ISO 27001:2014. Protegiendo su activo más valioso: la información”.

La gestión de los distintos riesgos y oportunidades en la Norma ISO 27001

Los riesgos, oportunidades y la mejora en la Norma ISO 27001:2014En materia de seguridad de la información, determinar los riesgos, los criterios de aceptación de estos y las medidas de tratamiento y prioridad que permitirán que todos ellos se eliminen o se reduzcan a niveles aceptables que previamente hemos determinado, es esencial.
Sin embargo no debemos olvidar que no solamente existen riesgos sino también oportunidades, que la empresa puede aprovechar si las tiene en cuenta de forma correcta.
Este es uno de los puntos clave de la Norma ISO 27001:2014, el punto fuerte podríamos decir, y para ayudarle en su labor cuenta con los controles indicados en la Norma ISO 27002:2015. Si quieres aumentar información sobre esta norma te recomiendo que leas el artículo “ISO 27002: la aliada perfecta de la ISO 27001”.
De forma resumida se puede decir que, para tratar de forma adecuada los riesgos y oportunidades, hay que definir un proceso que estará marcado por las siguientes etapas y que garantizará, si se realiza de forma correcta, su eficacia y contribución a la correcta gestión de la Norma ISO 27001 implantada en la empresa:
Infografía de las etapas de la gestión del riesgo en la ISO 27001

La mejora y dos herramientas esenciales: auditoría interna y revisión por la dirección.

Inicialmente, tenemos que dejar claro que la mejora continua, más allá de un pilar sobre el que se sustenta la Norma ISO 27001:2014, es un eje trasversal que se encuentra presente en cada uno de los capítulos, requisitos y puntos de esta.
Para ello, el Sistema de Gestión de la Seguridad de la Información tiene que permanecer en constante evolución, adaptándose a los cambios de su entorno, a las necesidades en el negocio, a las nuevas tecnologías, a las amenazas que se produzcan o aparezcan, etc., para mantener los riesgos controlados en todo momento, aprovechar las oportunidades que se produzcan y gestionarse de forma cada vez más eficaz.
Parece una tarea titánica, pero el propio sistema de gestión de la seguridad de la información, al igual que ocurre con otras normas, nos aporta dos herramientas para facilitar las tareas de la empresa en relación con la mejora continua: la auditoría interna y la revisión por la dirección.
Al fin y al cabo, no debemos olvidar que se trata de dos de las herramientas más poderosas para la mejora si se realizan de forma correcta. Para ello es necesario:
  • establecer una periodicidad de, al menos, una vez al año,
  • estar planificada
  • en el caso de la revisión por la dirección incluir unas entradas concretas que deben considerarse.
Por una parte, si se realizan adecuadamente, por personal competente y no como un meró trámite las auditorías internas nos aportarán:
  • las evidencias recogidas y los aspectos comprobados.
  • las deficiencias detectadas a corregir.
  • las desviaciones a tener en cuenta para que en un futuro no se conviertan en deficiencias.
  • y las valiosas oportunidades de mejora.
Por su parte, del Informe de la Revisión por la Dirección saldrán como resultado decisiones sobre las necesidades de cambios en el sistema de gestión de la seguridad de la información y la identificación de los recursos necesarios para llevarlos a cabo, entre otros aspectos.
 Seguridad de la información
Ya disponible el Ebook gratuito
ISO 27001:2014. Protegiendo su activo más valioso: la información

Breve apunte sobre la Información documentada: derribando un mito.

Para finalizar, no quiero terminar estos apuntes sin derribar un mito. Y es que tradicionalmente se viene pensando que un sistema de gestión viene unido a un gran número de documentación que se generará en cada uno de los pasos y que, por ello, cargará de trabajo a la empresa. Sin embargo, esto no es así.
El sistema de gestión de la seguridad de la información nos aporta una gran flexibilidad al no exigir un formato concreto en el que esta información documentada sea recogida. A la vez que permite, a parte de algunos documentos mínimos necesarios, que la empresa determine aquellos procesos y evidencias de cumplimiento que es necesario conservar como información documentada con el fin de que tenga constancia de que se ha llevado a cabo según lo planificado y que han resultado eficaces.
Todo ello para lograr que el sistema de gestión de la seguridad de la información según la Norma ISO 27001 se convierta en un aliado estratégico de la empresa que sentará parte de las bases de su crecimiento y ayudará a su mejora en el campo de la gestión del activo de la información.

No hay comentarios.:

Publicar un comentario