[:es]

Los riesgos, oportunidades y la mejora en la Norma ISO 27001:2014

La gestión de los distintos riesgos y oportunidades y la utilización de las herramientas eficaces para la mejora continua son esenciales para garantizar que la Norma ISO 27001 funciona correctamente.

2 512  2

En anteriores artículos he hablado del papel que ocupan en la Norma ISO 27001:2014 aspectos como el  contexto, alcance y política, responsabilidades,  comunicacion y gestión de recursos, sin embargo falta por tratar brevemente dos conceptos esenciales, como son:

  • los riesgos y las oportunidades;
  • la mejora continua, y las herramientas para conseguirla.

Para ello voy a tomar como referencia la publicación “ISO 27001:2014. Protegiendo su activo más valioso: la información”.

La gestión de los distintos riesgos y oportunidades en la Norma ISO 27001

Los riesgos, oportunidades y la mejora en la Norma ISO 27001:2014En materia de seguridad de la información, determinar los riesgos, los criterios de aceptación de estos y las medidas de tratamiento y prioridad que permitirán que todos ellos se eliminen o se reduzcan a niveles aceptables que previamente hemos determinado, es esencial.

Sin embargo no debemos olvidar que no solamente existen riesgos sino también oportunidades, que la empresa puede aprovechar si las tiene en cuenta de forma correcta.

Este es uno de los puntos clave de la Norma ISO 27001:2014, el punto fuerte podríamos decir, y para ayudarle en su labor cuenta con los controles indicados en la Norma ISO 27002:2015. Si quieres aumentar información sobre esta norma

De forma resumida se puede decir que, para tratar de forma adecuada los riesgos y oportunidades, hay que definir un proceso que estará marcado por las siguientes etapas y que garantizará, si se realiza de forma correcta, su eficacia y contribución a la correcta gestión de la Norma ISO 27001 implantada en la empresa:

Infografía de las etapas de la gestión del riesgo en la ISO 27001

La mejora y dos herramientas esenciales: auditoría interna y revisión por la dirección.

Inicialmente, tenemos que dejar claro que la mejora continua, más allá de un pilar sobre el que se sustenta la Norma ISO 27001:2014, es un eje trasversal que se encuentra presente en cada uno de los capítulos, requisitos y puntos de esta.

Para ello, el Sistema de Gestión de la Seguridad de la Información tiene que permanecer en constante evolución, adaptándose a los cambios de su entorno, a las necesidades en el negocio, a las nuevas tecnologías, a las amenazas que se produzcan o aparezcan, etc., para mantener los riesgos controlados en todo momento, aprovechar las oportunidades que se produzcan y gestionarse de forma cada vez más eficaz.

Parece una tarea titánica, pero el propio sistema de gestión de la seguridad de la información, al igual que ocurre con otras normas, nos aporta dos herramientas para facilitar las tareas de la empresa en relación con la mejora continua: la auditoría interna y la revisión por la dirección.

Al fin y al cabo, no debemos olvidar que se trata de dos de las herramientas más poderosas para la mejora si se realizan de forma correcta. Para ello es necesario:

  • establecer una periodicidad de, al menos, una vez al año,
  • estar planificada
  • y en el caso de la revisión por la dirección incluir unas entradas concretas que deben considerarse.

Por una parte, si se realizan adecuadamente, por personal competente y no como un meró trámite las auditorías internas nos aportarán:

  • las evidencias recogidas y los aspectos comprobados.
  • las deficiencias detectadas a corregir.
  • las desviaciones a tener en cuenta para que en un futuro no se conviertan en deficiencias.
  • y las valiosas oportunidades de mejora.

Por su parte, del Informe de la Revisión por la Dirección saldrán como resultado decisiones sobre las necesidades de cambios en el sistema de gestión de la seguridad de la información y la identificación de los recursos necesariospara llevarlos a cabo, entre otros aspectos.

Breve apunte sobre la Información documentada: derribando un mito.

Para finalizar, no quiero terminar estos apuntes sin derribar un mito. Y es que tradicionalmente se viene pensando que un sistema de gestión viene unido a un gran número de documentación que se generará en cada uno de los pasos y que, por ello, cargará de trabajo a la empresa. Sin embargo, esto no es así.

El sistema de gestión de la seguridad de la información nos aporta una gran flexibilidad al no exigir un formato concreto en el que esta información documentada sea recogida. A la vez que permite, a parte de algunos documentos mínimos necesarios, que la empresa determine aquellos procesos y evidencias de cumplimiento que es necesario conservar como información documentada con el fin de que tenga constancia de que se ha llevado a cabo según lo planificado y que han resultado eficaces.

Todo ello para lograr que el sistema de gestión de la seguridad de la información según la Norma ISO 27001 se convierta en un aliado estratégico de la empresa que sentará parte de las bases de su crecimiento y ayudará a su mejora en el campo de la gestión del activo de la información.

[:en]The risks, opportunities and improvement in ISO 27001: 2014

Management of the different risks and opportunities and the use of effective tools for continuous improvement are essential to ensure that ISO 27001 is working properly.

In previous articles I have discussed the role of ISO 27001: 2014 in aspects such as context, scope and policy, responsibilities, communication and resource management, but there are two essential concepts:

Risks and opportunities;
Continuous improvement, and the tools to achieve it.
For this I will take as reference the publication «ISO 27001: 2014. Protecting your most valuable asset: information. »

Management of the different risks and opportunities in ISO 27001

In terms of information security, determining the risks, the acceptance criteria, and the treatment and priority measures that will allow them to be eliminated or reduced to acceptable levels that we have previously determined is essential.

However, we must not forget that there are not only risks but also opportunities that the company can take advantage of if it takes them into account correctly.

This is one of the key points of ISO 27001: 2014, the strong point we could say, and to assist you in your work, you have the controls indicated in ISO 27002: 2015. If you want to increase information about this standard

In summary, it can be said that, in order to adequately address risks and opportunities, a process must be defined that will be marked by the following stages and that will ensure, if done correctly, its effectiveness and contribution to the correct management of The ISO 27001 standard implemented in the company:

 

Improvement and two essential tools: internal audit and management review.

Initially, we must make it clear that continuous improvement, beyond a pillar on which ISO 27001: 2014 is based, is a transversal axis that is present in each of the chapters, requirements and points of this.

For this, the Information Security Management System has to remain in constant evolution, adapting to the changes in its environment, to the needs in the business, to new technologies, to threats that occur or appear, etc. . To keep risks under control at all times, to take advantage of the opportunities that are produced and to be managed in an increasingly efficient way.

It seems a daunting task, but the information security management system itself, as with other standards, provides us with two tools to facilitate the company’s tasks in relation to continuous improvement: internal auditing and review By management.

After all, we must not forget that these are two of the most powerful tools for improvement if done correctly. For this it is necessary:

To establish a periodicity of at least once a year,
Be planned
And in the case of the review by the management include specific entries to be considered.
On the one hand, if carried out properly, by competent personnel and not as a merot procedure the internal audits will provide us with:

The evidences collected and the proven aspects.
The deficiencies detected to correct.
The deviations to be taken into account so that in the future they do not become deficiencies.
And valuable opportunities for improvement.
For its part, the Management Review Report will result in decisions on the needs for changes in the information security management system and identification of the necessary resources to carry them out, among other things.

Brief note on Documented Information: knocking down a myth.

Finally, I do not want to finish these notes without overthrowing a myth. And is that traditionally has been thinking that a management system comes attached to a large number of documentation that will be generated in each of the steps and therefore, will load the company work. However, this is not so.

The information security management system gives us great flexibility in not demanding a specific format in which this documented information is collected. At the same time, it allows, apart from some minimum necessary documents, that the company determines those processes and evidences of compliance that it is necessary to keep as documented information in order to have evidence that it has been carried out as planned and that Have been effective.

All this to ensure that the information security management system according to ISO 27001 becomes a strategic ally of the company, which will form part of the basis of its growth and will help to improve it in the field of information management. Active information[:]

[:es]Norma ISO 27001:2014: Los riesgos, oportunidades y la mejora[:en]The risks, opportunities and improvement in ISO 27001: 2014[:]

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies