6 pasos bsicos para la evaluacin de riesgos segn ISO 27001

Evaluacin de riesgos segn ISO 27001

Conocemos muchas organizaciones, que se esfuerzan en utilizar herramientas de

evaluacin de riesgos, como parte de su proyecto de implementacin de la norma ISO
27001. El resultado suele ser una gran inversin de tiempo y dinero y muy pocos beneficios.
La evaluacin de riesgos segn ISO 27001, es un proceso en el cual una organizacin debe
identificar los riesgos de seguridad de su informacin y determinar la probabilidad de
ocurrencia y su impacto.

Bsicamente, la organizacin debe reconocer todos los posibles problemas que pueden
afectar a su informacin, la probabilidad de que esto ocurra y que consecuencias traera. El
propsito de la evaluacin de riesgos segn ISO 27001 es identificar que controles son
necesarios para reducir el riesgo, basndose en el Anexo A que especifica 133 de ellos.

Cmo se lleva a cabo la evaluacin de riesgos segn ISO 27001?

La evaluacin del riesgo inicia con la identificacin y evaluacin de los activos,

vulnerabilidades y amenazas. Un activo es cualquier cosa que tenga valor para la
organizacin. En trminos de informacin, podemos identificar activos como el hardware,
software, personal, infraestructura, datos en diferentes formas, impresos o digitales
proveedores, socios, etctera.

Una vulnerabilidad es una debilidad que puede afectar un activo o un control de proceso,
que es susceptible de ser convertida en una amenaza. Una amenaza es cualquier evento o
suceso que puede daar un sistema de una organizacin. En este orden de ideas, una
vulnerabilidad es la falta de un antivirus. Esto crea una amenaza que es el ataque de un
virus que puede deteriorar o destruir la informacin almacenada en ordenadores, o el
software destinado al tratamiento de la informacin.
Cuando se trata de organizaciones de menor tamao menos de 50 empleados -, no se
requiere de herramientas sofisticadas para realizar una evaluacin de riesgos. El uso de una
hoja de clculo de Excel, en la que se incorpore una lista de vulnerabilidades y amenazas
puede bastar.

Sin embargo, y aunque el proceso no es complicado, organizaciones de mayor tamao

pueden requerir el uso de metodologas un tanto ms complejas. Veamos algunos pasos
bsicos que pueden ayudarlas en este propsito:

6 pasos bsicos para la evaluacin de riesgos segn ISO 27001

1. Metodologa de evaluacin del riesgo

Es preciso definir reglas para la gestin
organizacin en la misma forma. Este
organizaciones. Es necesario establecer
cuantitativa o cualitativa de los riesgos, la
niveles aceptables de riesgo.
del riesgo, que sean utilizadas por toda la
suele ser un problema comn a muchas
si la organizacin requiere una evaluacin
escala de medicin que se ha de utilizar y los

2. Aplicacin de la evaluacin

Establecidas las reglas, el paso procedente, como ya lo hemos advertido, es hacer una lista
de los activos que intervienen en el tratamiento de la informacin, las vulnerabilidades, sus
amenazas, el impacto y las probabilidades, con el fin de calcular el nivel de riesgo.

3. Implementacin

A esta altura del proceso, ya sabremos que no todos los riesgos tienen la misma importancia
o la misma probabilidad de ocurrencia. Pero tambin tendremos claro que algunos de los
riesgos que hemos identificado nos muestran niveles inaceptables.

Cmo eliminar estos riesgos, o reducir su impacto negativo? Veamos cuatro alternativas:

Aplicar los controles 133 que establece el Anexo A de la norma.

Transferir el riesgo. Una pliza de seguros suele ser la mejor opcin para este caso.
Identificar el proceso que da origen al riesgo, eliminarlo o modificarlo de tal forma
que no se genere la amenaza.
Aceptarlo, dimensionando sus consecuencias y su impacto real.

4. El informe

En este paso, solo es necesario documentar lo que se ha hecho hasta aqu, de forma que la
informacin est disponible para auditores, administradores del sistema, Alta Direccin o
cualquier persona que desee establecer comparaciones en el futuro.
5. Declaracin de aplicabilidad

Este documento, de vital importancia durante la auditora de certificacin, establece el

perfil de seguridad de la organizacin, y el registro de los controles que se han
implementado y puesto en prctica con el fin de prevenir los riesgos.

6. El plan de tratamiento de riesgos

La evaluacin de riesgos segn ISO 27001, no tendra objeto si no se lleva a la prctica. Todo
lo que hemos hecho hasta el momento est dentro del campo terico y es preciso llevarlo
a la realidad, mediante un plan de tratamiento de riesgos.

El plan adjudica responsabilidades para el diseo, implementacin y puesta en prctica de

los controles. Igualmente establece plazos, recursos, presupuesto y acciones de
seguimiento.

Todo esto no se produce de la noche a la maana. La evaluacin de riesgos segn ISO 27001
es solo el comienzo. El desarrollo de todo el proyecto requiere aprobacin de la Alta
Direccin, erogacin de recursos y en algunos casos, cambio de la cultura organizacional.
As es que es mejor empezar ahora.

ISOTools Excellence

El software de ISOTools Excellence permite la automatizacin en la implementacin de

Sistemas de Gestin de Seguridad de la Informacin, para la evaluacin de riesgos segn
ISO 27001.

As mismo, si desea ampliar informacin, no dude en solicitar que nuestros consultores

expertos en la materia se pongan en contacto con usted y le ofrezcan un asesoramiento
personalizado.