8.1 Planificación y control operacional.
En este capítulo se nos presentan una serie de requisitos para controlar que estamos tomando las medidas adecuadas para lograr los objetivos de la Seguridad de la Información
En pasos anteriores hemos identificado los riesgos y establecido o seleccionado los controles que debemos implementar para abordar los riesgos y oportunidades de la seguridad de la información como parte de la planificación del SGSI
Ahora la norma ISO 27001 nos pide que seamos capaces demostrar que estamos tomando las medidas para lograr los objetivos establecidos
No se trata de inventarnos nada nuevo, la mejor forma de demostrar que cumplimos con los requisitos de la norma es a través de registros. Por ejemplo, si hemos establecido un determinado control que requiere una revisión mensual y una aprobación, entonces debería poder mostrar evidencia como un informe de hallazgos, una hoja de aprobación, registros, etc.
Control de cambios
La norma nos pone ahora requisitos para controlar el cambio. En otras palabras nos tenemos que pensar cómo vamos a manejar los cambios ya sean planificados o no. Para cumplir con el estándar, debe poder demostrar que ha identificado los efectos que el cambio puede tener en sus sistemas, que ha implementado algunas acciones para ayudar a disminuir cualquier impacto. ¡Y por supuesto todo hay que documentarlo!
Se trata de gestionar cualquier evento que se produzca dentro del ámbito de la seguridad de la información, cualquier cambio programado o no que pueda afectar a la seguridad de la Información (Actualizaciones etc.).
Para ello deberemos registrar o documentar
- Los procedimientos o procesos de cambios controlados
- Los eventos en la seguridad de la información
- Las auditorias y sus resultados
- Las reuniones para la revisión de los sistemas de información y objetivos del SGSI
Manteniendo esta información al día estamos realmente recopilando las evidencias de cualquier evento en la seguridad de la información, lo que nos permitirá retroceder a través del tiempo lo que sea necesario para investigar las causas para identificar rápidamente cuando algo no funciona y hacer los cambios necesarios para estar al tanto de los requisitos del SGSI.
También será necesario mantener copias de seguridad de nuestros registros
8.2 Evaluación de riesgos de seguridad de la información.
Llegados a este punto, la norma los requiere que realicemos las evaluaciones de riesgos a intervalos planificados según los criterios que hemos definido en la caula 6 donde se nos requiere que definamos apliquemos una evaluación de riesgos de seguridad de la información.
El punto 8.2 nos requiere solo que realicemos esa evaluación, ¡y eso es todo!
Se trata entonces de implementar las evaluaciones de riesgo de acuerdo con su proceso ya definido, programe estas evaluaciones de manera regular o además cuando sea necesario, y, por supuesto, documente sus hallazgos.
Ya hemos visto cuales son los pasos para la evaluación del riesgo de la seguridad de la información:
- Identificamos nuestros activos de información determinando las salidas de información de esos activos.
- Clasifique información y establezca una prioridad sobre esa información. Por ejemplo, los registros financieros y las contraseñas se clasifican como «información confidencial».
- Estos luego evalué la prioridad de cada tipo de información mediante una puntuación o valoración del riesgo.
- Finalmente defina los controles necesarios para asegurar la información que supere determinado nivel de riesgo establecido según los criterios de riesgo de la organización
8.3 Tratamiento de riesgos de seguridad de la información.
Finalmente el punto 8.3 requiere que se implemente el plan de tratamiento de riesgos de seguridad de la información que se definió en la cláusula 6 y, como siempre, registre los resultados de los indicadores establecidos.
El proceso de tratamiento de riesgos se lleva a cabo siempre después de cada evaluación de riesgos de seguridad para garantizar que se implementen los controles o mitigaciones correctas.
Los controles para mitigar el riesgo en la seguridad de la información y se determinan siguiendo una selección de los controles enumerados en el Anexo A de ISO 27001 utilizada como guía
Es aquí donde ponemos el acento en la aplicabilidad de los controles mediante un estudio sistemático que produce como resultado la declaración de aplicabilidad o SOA
Cómo crear y gestionar el proceso de tratamiento del riesgo
El tratamiento del riesgo es el resultado de la evaluación del riesgo y de la declaración de aplicabilidad o “SOA”
Después de definir los control a implantar según los pasos anteriores deberemos definir las tareas a realizar para su implanta ion en un plan de tratamiento de riesgos
El plan de tratamiento de riesgos puede ser simplemente un documento donde se recoge la descripción de las actividades a realizar y donde se establezca la trazabilidad entre las medidas a implantar y los riesgos que cada una de ellas pretende mitigar.
No nos olvidemos que además un plan de tratamiento de riesgos debe determinar no solo las actividades a realizar sino las acciones y los responsables de realizarlas junto con los indicadores o métodos para medir o evaluar el grado de cumplimiento de las acciones a emprender.
Es importante tener en cuenta que las métricas deben estar alineadas con los
Objetivos de la organización previamente definidos.
Otro aspecto importante es la evaluación del esfuerzo necesario para obtener las medidas y registros. Para ello se recomienda ajustarse a un conjunto de métricas inicial que no suponga un esfuerzo no asumible para la organización y sea más un motivo de desánimo que una tarea asumida por la organización
Por ejemplo, se pueden definir métricas en relación a las tres dimensiones de la seguridad consideradas:
- Confidencialidad: reducir el número de incidentes con riesgo de fuga de información.
- Disponibilidad: porcentaje de disponibilidad de determinados equipos y sistemas.
- Integridad: reducir los incidentes por información errónea.
