Requisito 27001 de ISO 6.1: Acciones para abordar riesgos y oportunidades

¿Qué implica la Cláusula 6.1?

Documentar con claridad en la descripción y luego demostrar cómo maneja el riesgo según ISO 27001 es esencial para una certificación independiente para ISO 27001 y el funcionamiento exitoso de un sistema de gestión de seguridad de la información (SGSI).

Cláusula 6.1.1 – Aspectos generales en la planificación en torno al riesgo para ISO 27001

En este punto, debería recordar su trabajo anterior en las secciones 4 y 5, en particular, 4.1, 4.2, 4.3 y la sección 5 de ISO 27001. Esto le ayudará a determinar los riesgos y oportunidades que deben abordarse desde su cuestiones anteriores, partes interesadas y alcance con el fin de:

• Garantizar que el sistema de gestión de seguridad de la información pueda lograr los resultados previstos.
• 'prevenir o reducir los efectos no deseados'
• "lograr la mejora continua".

La organización debe contar con planes que cubran las acciones que tomará para identificar, evaluar y tratar estos riesgos y oportunidades y cómo integrará e implementará esas acciones en los procesos de su sistema de gestión de seguridad de la información. Esto debería incluir cómo evaluarán la efectividad de estas acciones y cómo las monitorearán a lo largo del tiempo.

En pocas palabras, esto significa documentar el proceso de identificación, evaluación y tratamiento de riesgos, y luego demostrar que funciona en la práctica con la gestión de cada riesgo, idealmente para demostrar que se tolera (por ejemplo, después de que se hayan aplicado los controles del Anexo A), se cancela o tal vez se transfiere. a otras partes.

ISO 27001 también desglosa este requisito hacia la gestión de riesgos en mayor profundidad. Además, existen otras normas orientadas al riesgo, como la ISO 31000, de las que se puede aprender, de donde surgieron los principios para la planificación de riesgos ISO 27001.

Cláusula 6.1.2 – Evaluación de riesgos de seguridad de la información para ISO 27001

La norma ISO 27001 requiere que una organización establezca y mantenga procesos de evaluación de riesgos de seguridad de la información que incluyan los criterios de evaluación y aceptación de riesgos. También estipula que cualquier evaluación debe ser consistente, válida y producir "resultados comparables".

Eso significa describir claramente el enfoque que se está adoptando y producir una metodología de riesgo; hemos escrito más sobre cómo desarrollar eso aquí.

Las organizaciones deben aplicar los procesos de evaluación para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad (CIA) de los activos de información dentro del alcance definido del SGSI.

La mayoría de los auditores certificados ISO esperarán que la metodología vaya más allá de las simples descripciones de probabilidad e impacto, para explicar también qué sucede (por ejemplo) cuando ocurre un conflicto entre un riesgo (por ejemplo, basado en la disponibilidad) y otro (por ejemplo, basado en la confidencialidad).

Los riesgos deben asignarse a los propietarios de riesgos dentro de la organización, quienes determinarán el nivel de riesgo, evaluarán las posibles consecuencias en caso de que el riesgo se materialice, junto con la "probabilidad realista de que ocurra el riesgo".

Una vez evaluado, el riesgo debe priorizarse para su tratamiento y luego gestionarse de acuerdo con la metodología documentada.

Cláusula 6.1.3 – Tratamiento de riesgos de seguridad de la información para ISO 27001

Se espera que usted seleccione opciones apropiadas de tratamiento de riesgos basándose en los resultados de la evaluación de riesgos, por ejemplo, tratar con los controles del Anexo A, terminar, transferir o tal vez tratar de otra manera. La norma ISO 27001 señala que el Anexo A también incluye los objetivos de control, pero que los controles enumerados "no son exhaustivos" y pueden ser necesarios controles adicionales.

Normalmente, los controles del Anexo A se utilizan solos en organizaciones más pequeñas, aunque es aceptable diseñar o identificar los controles de cualquier fuente. De esa manera, gestionar múltiples estándares de seguridad podría significar aplicar controles, por ejemplo, de otros estándares como NIST o SOC2 siguiendo los principios de Trust Services Criteria.

Si está siendo auditado por un auditor independiente para ISO 27001, tiene mucho sentido centrarse en los controles del Anexo A, ya que los conocerá bien.

Si es necesario cumplir estándares específicos para un cliente, por ejemplo, DSPT for Health en el NHS del Reino Unido, también tiene sentido asignar el tratamiento de riesgo a esos estándares y brindarle al cliente la confianza de que su garantía de información es sólida y también satisface sus intereses.

Los propietarios de riesgos asignados gestionan sus planes de tratamiento de riesgos (o delegan en personas para que lo hagan por ellos) y, en última instancia, tomarán la decisión de aceptar cualquier riesgo residual de seguridad de la información; después de todo, no tiene sentido terminar siempre la transferencia o continuar invirtiendo en la gestión. de un riesgo.

Es necesario producir una Declaración de Aplicabilidad que contenga los controles que la organización ha considerado necesarios junto con la justificación de las inclusiones, ya sea que se implementen o no, y la justificación de las exclusiones de controles del Anexo A.

Este es un trabajo bastante importante (enormemente simplificado y automatizado por ISMS.online) que demuestra que la organización ha examinado cuidadosamente todas las áreas relacionadas con los controles que ISO 27001 considera importantes.

Comprensión de la declaración de aplicabilidad de ISO 27001

La Declaración de Aplicabilidad (SOA) contiene los controles necesarios como se mencionó anteriormente y la justificación para su inclusión o exclusión. Es excelente para la gestión interna y para compartir con partes interesadas relevantes. Esto, junto con la política de seguridad, el alcance y el certificado (si se logra), les dará una mejor comprensión de dónde podrían estar sus intereses y preocupaciones en su sistema de gestión de seguridad de la información.

Cómo lograr la Cláusula 6.1

Normalmente, planificar cómo identificará, evaluará y tratará los riesgos para cumplir con los requisitos anteriores es uno de los elementos que más tiempo requiere en la implementación de su SGSI. Requiere que una organización defina una metodología para la evaluación consistente del riesgo y mantenga registros claros de cada riesgo, su evaluación y plan de tratamiento.

Además, los registros deben demostrar revisiones periódicas a lo largo del tiempo y evidencia del tratamiento que se ha realizado. Esto incluirá cuáles de los controles del Anexo A ha implementado como parte de ese tratamiento y contribuirá a la creación (y mantenimiento) de la Declaración de Aplicabilidad.

No es de extrañar que los métodos anticuados de hojas de cálculo puedan resultar complejos y difíciles de mantener cuando se van más allá de los enfoques muy básicos de gestión de riesgos (que se requieren para la norma ISO 27001). Es una de las razones por las que las organizaciones ahora buscan soluciones de software para gestionar este proceso.

Hazlo más sencillo con ISMS.online

La plataforma ISMS.online incluye una política de gestión de riesgos, una metodología y una herramienta de gestión de riesgos de seguridad de la información preconfigurada. También incluimos un banco de riesgos comunes de seguridad de la información que se pueden reducir, junto con los controles sugeridos del Anexo A, lo que le permitirá ahorrar semanas de trabajo.

Unir esto en una solución integrada para ayudarle a lograr, mantener y mejorar todo su SGSI tiene mucho sentido. Después de todo, ¿por qué perder el tiempo intentando crearlo usted mismo cuando ya existe una solución específica?