Académique Documents
Professionnel Documents
Culture Documents
Bsicamente, la organizacin debe reconocer todos los posibles problemas que pueden
afectar a su informacin, la probabilidad de que esto ocurra y que consecuencias traera. El
propsito de la evaluacin de riesgos segn ISO 27001 es identificar que controles son
necesarios para reducir el riesgo, basndose en el Anexo A que especifica 133 de ellos.
Una vulnerabilidad es una debilidad que puede afectar un activo o un control de proceso,
que es susceptible de ser convertida en una amenaza. Una amenaza es cualquier evento o
suceso que puede daar un sistema de una organizacin. En este orden de ideas, una
vulnerabilidad es la falta de un antivirus. Esto crea una amenaza que es el ataque de un
virus que puede deteriorar o destruir la informacin almacenada en ordenadores, o el
software destinado al tratamiento de la informacin.
Cuando se trata de organizaciones de menor tamao menos de 50 empleados -, no se
requiere de herramientas sofisticadas para realizar una evaluacin de riesgos. El uso de una
hoja de clculo de Excel, en la que se incorpore una lista de vulnerabilidades y amenazas
puede bastar.
Es preciso definir reglas para la gestin del riesgo, que sean utilizadas por toda la
organizacin en la misma forma. Este suele ser un problema comn a muchas
organizaciones. Es necesario establecer si la organizacin requiere una evaluacin
cuantitativa o cualitativa de los riesgos, la escala de medicin que se ha de utilizar y los
niveles aceptables de riesgo.
2. Aplicacin de la evaluacin
Establecidas las reglas, el paso procedente, como ya lo hemos advertido, es hacer una lista
de los activos que intervienen en el tratamiento de la informacin, las vulnerabilidades, sus
amenazas, el impacto y las probabilidades, con el fin de calcular el nivel de riesgo.
3. Implementacin
A esta altura del proceso, ya sabremos que no todos los riesgos tienen la misma importancia
o la misma probabilidad de ocurrencia. Pero tambin tendremos claro que algunos de los
riesgos que hemos identificado nos muestran niveles inaceptables.
Cmo eliminar estos riesgos, o reducir su impacto negativo? Veamos cuatro alternativas:
4. El informe
En este paso, solo es necesario documentar lo que se ha hecho hasta aqu, de forma que la
informacin est disponible para auditores, administradores del sistema, Alta Direccin o
cualquier persona que desee establecer comparaciones en el futuro.
5. Declaracin de aplicabilidad
La evaluacin de riesgos segn ISO 27001, no tendra objeto si no se lleva a la prctica. Todo
lo que hemos hecho hasta el momento est dentro del campo terico y es preciso llevarlo
a la realidad, mediante un plan de tratamiento de riesgos.
Todo esto no se produce de la noche a la maana. La evaluacin de riesgos segn ISO 27001
es solo el comienzo. El desarrollo de todo el proyecto requiere aprobacin de la Alta
Direccin, erogacin de recursos y en algunos casos, cambio de la cultura organizacional.
As es que es mejor empezar ahora.
ISOTools Excellence