👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
ISO 27001 en su versión 2013: 6.1.1, 6.1.2, 6.1.3, 6.2, 8.1, 8.2, 8.3, 9.1
ISO 27001 en su versión 2022: 6.1.1, 6.1.2, 6.1.3, 6.2, 8.1, 8.2, 8.3
Y los siguientes controles:
ISO 27001 en su versión 2013: A.12.7.1, A.18.2.3
ISO 27001 en su versión 2022: A.5.36, A.8.8, A.8.34
¿Para qué me sirve esta actividad? 📚
Esta actividad te sirve para sentar las bases con las que llevarás a cabo la gestión de los riesgos de seguridad en tu empresa.
¿Qué tengo que hacer? 🚀
Para realizar esta actividad debes documentar y establecer todos los lineamientos y criterios necesarios para aplicar un análisis adecuado y completo de los riesgos de seguridad.
Nuestro template te proporciona una metodología ya estructurada y alineada con el uso de la plataforma Hackmetrix y el cumplimiento normativo, por lo que solo debes leer el documento, comprenderlo y ajustar pequeñas cosas, si lo consideras necesario.
Ahora bien, si te estás preguntando ¿qué voy a encontrar dentro de este template?, a continuación te explicamos más a detalle cada una de las secciones 🤓.
Criterios para el inventario de activos
En esta sección encontrarás los lineamientos y criterios para una identificación y valorización adecuada de los activos de información. Esto es importante dentro de la metodología porque te permite delimitar el análisis y conocer qué es lo que puede ser afectado por dichos riesgos.
Identificación: Aquí se establece qué información debes recopilar y enlistar sobre los activos que son alcanzados por tu SGSI y que por ende, deben ser protegidos. Te recomendamos usar el módulo de Activos de nuestra plataforma para llevar este registro de forma más ágil y eficiente 💪🏼.
Valorización: Aquí se establecen los criterios para valorizar y definir la criticidad que tiene cada uno de los activos para los procesos y actividades alcanzadas por tu SGSI, la cual puede ser muy baja, baja, media, alta y muy alta. Uno de esos criterios debe ser la clasificación de la información. Esto te permite priorizar adecuadamente su análisis, y posteriormente el tratamiento o resguardo que necesitan para ser protegidos. ¡Esta información también la puedes registrar dentro del módulo de Activos de la plataforma!
Criterios para la matriz de riesgos
En estas secciones encontrarás los lineamientos y criterios que te permitirán implementar una adecuada identificación, evaluación y tratamiento de los riesgos, todas alineadas al cumplimiento de los requisitos normativos y de seguridad de tu empresa.
Identificación: Al igual que la identificación de activos, aquí se establece cómo debes registrar los riesgos de seguridad y toda la información que necesitas recopilar sobre ellos para realizar un análisis correcto. Te recomendamos usar el módulo de Riesgos de nuestra plataforma para llevar este registro de forma más ágil y eficiente 💪🏼.
Evaluación: Aquí se establece el cómo se evalúan los riesgos. Lo que te proponemos en el template de esta metodología consiste en identificar, por medio de una escala de valores previamente establecida (del 1 al 5) la probabilidad de ocurrencia de los riesgos y el impacto que éstos pueden tener en tus operaciones, activos y/o servicios. La asignación de estos valores te permitirá, por medio de una multiplicación, definir el nivel del riesgo (muy alto, alto, medio, bajo o muy bajo).
A continuación te mostramos cada uno de los valores con su respectiva descripción:
PROBABILIDAD 📈 |
|
|
Descripción | Nivel | Valor |
Es casi imposible que el riesgo ocurra. | Muy bajo | 1 |
Es poco posible que el riesgo ocurra. | Bajo | 2 |
Es probable que el riesgo ocurra. | Medio | 3 |
Es muy posible que el riesgo ocurra. | Alto | 4 |
Es casi seguro que el riesgo ocurra. | Muy alto | 5 |
IMPACTO 🔥 |
|
|
Descripción | Nivel | Valor |
Las consecuencias de la ocurrencia del riesgo son insignificantes. | Muy bajo | 1 |
Las consecuencias de la ocurrencia del riesgo son mínimas. | Bajo | 2 |
Las consecuencias de la ocurrencia del riesgo son tolerables. | Medio | 3 |
Las consecuencias de la ocurrencia del riesgo son graves. | Alto | 4 |
Las consecuencias de la ocurrencia del riesgo son desastrosas. | Muy alto | 5 |
Con el siguiente mapa de calor puedes observar cómo se calculará el nivel de riesgo con base en los valores asignados de probabilidad e impacto:
💡 Este proceso de evaluación es el que lleva a cabo nuestro módulo de Riesgos y es muy importante tenerlo documentado claramente dentro de la metodología, y sobre todo, muy bien entendido ya que recordemos que la gestión de riesgos tiene un gran peso dentro del cumplimiento normativo y es esencial para lograr la certificación.
Tratamiento: Aquí se establece el qué se hará con esos riesgos, es decir las decisiones y acciones correctivas que se tomarán para reducir la probabilidad y/o el impacto previamente evaluado. La metodología más usada en la industria nos proporciona cuatro posibles decisiones de tratamiento para el riesgo; mitigar, aceptar, eliminar o transferir.
Dentro de nuestro template podrás encontrar el detalle de cada una de estas decisiones, por lo que lo único que debes hacer es leer y comprender la información, e indicar las condiciones que aplicarán a tu empresa para que la aceptación de un riesgo sea válida.
Criterios para el seguimiento y comunicación
En esta última sección debes establecer los criterios de seguimiento y comunicación para mantener el cumplimiento de los requisitos normativos y de seguridad. En nuestro template encontrarás los siguientes lineamientos, que son los mínimos indispensables que debes aplicar:
La revisión periódica, tanto del inventario de activos como de la matriz de riesgos, para asegurar que la información se encuentre actualizada y correcta.
La evaluación de riesgos anual donde debes analizar nuevamente los valores de probabilidad e impacto, los niveles de riesgo asignados y las decisiones de tratamiento para asegurar que se encuentran alineadas a las necesidades de seguridad de la empresa.
La comunicación de los resultados obtenidos de las evaluaciones a la alta dirección y comité de seguridad, y el cómo se realizará dicha comunicación.
Los responsables y encargados de llevar a cabo las actividades previamente mencionadas.
En esta parte puedes agregar otras tareas de seguimiento y comunicación, si lo consideras pertinente, para que se ajusten con el contexto y necesidades de tu empresa.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
La Metodología de Gestión de Riesgos propuesta en nuestro template está alineada con el uso de los módulos de la plataforma Hackmetrix, por lo que te recomendamos usarlos y aprovechar todas las automatizaciones que te brindan ✨.
Antes de comenzar a generar tu inventario de activos o matriz de riesgos, primero documenta esta metodología para que tengas una comprensión completa de todo lo que conlleva la gestión de riesgos.
Involucra a la alta dirección y al comité de seguridad en la documentación y aprobación de esta metodología para que la comprendan completamente, ya que estos temas son muy importantes durante las auditorías internas y externas.
Define el tratamiento de los riesgos con apoyo del Oficial de Seguridad de la Información (OSI), el comité, y de ser posible con la alta dirección, esto para poder tomar la mejor decisión en cuanto a las tareas a ejecutar para remediar o controlar los riesgos asociados.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.