En la mayoría de los casos de implementación de normas ISO, la diferencia entre la evaluación de riesgos y el análisis de brechas es muy clara. Sin embargo, el análisis de brechas en ISO 27001 llega a confundirse con la evaluación de riesgos, sobre todo si tenemos en cuenta el objetivo común: identificar las deficiencias en la seguridad de la información de la organización.
Pero para entender con claridad cuál es la diferencia entre el análisis de brechas en ISO 27001 y la evaluación de riesgos, según la misma norma, en primer lugar definimos con claridad uno y otra; después establecemos las diferencias entre ambos.
¿Qué es el análisis de brechas en ISO 27001?
El análisis de brechas en ISO 27001 (Análisis GAP) no es otra cosa que la comparación entre lo solicitado por cada una de las cláusulas de la norma y lo que, en la práctica, ya está implementado en la organización. Por supuesto, pueden existir diversos grados de cumplimiento. Podemos utilizar una escala similar a esta para establecer esos diferentes grados:
- 0 – requisito que no se ha implementado ni planeado implementar.
- 1 – requisito que no se ha implementado, pero se planea hacerlo.
- 2 – requisito que se cumple parcialmente. Solo se pueden esperar sus efectos parciales
- 3 – requisito implementado, pero no se llevan a cabo las mediciones y revisiones que permiten la mejora continua.
- 4 – requisito implementado y se realizan las mediciones y revisiones. El requisito se cumple.
El análisis de brechas en ISO 27001 es obligatorio. Sin embargo, solo es preciso determinar si se implementan o no los controles necesarios cuando se desarrolla la declaración de aplicabilidad.
Por tanto, no se requiere realizar el análisis de brechas en ISO 27001 para las cláusulas de la parte principal de la norma. Solo para los controles del Anexo A. Comprendiendo esta parte, y teniendo claridad sobre lo que es el análisis de brechas en ISO 27001, pasemos a revisar la evaluación de riesgos bajo la misma norma.
¿Qué es la evaluación de riesgos en ISO 27001?
La evaluación de riesgos en un paso crítico en la implementación de cualquier sistema de gestión basado en normas ISO. Gracias a ella podemos identificar los controles de seguridad que debemos implementar, en el caso de que existan riesgos potenciales que así lo justifiquen.
A mayor riesgo, mayor necesidad de controles. Pero la evaluación de riesgos en ISO 27001 evita la implementación de controles donde no existen riesgos, ahorrando tiempo y dinero.
Parece haber similitudes entre los dos casos comparado; en efecto las hay. Veamos dónde están las diferencias.
El #AnálisisBrechas y la EvaluaciónRiesgos en #ISO27001 presentan muchas similitudes. Pero son muy diferentes. Conozcamos la diferencia. Clic para tuitearLas diferencias entre el análisis de brechas en ISO 27001 y la evaluación de riesgos
El análisis de brechas en ISO 27001 nos indica la distancia a la que se encuentra la organización del cumplimiento de los requisitos y controles de la norma. El análisis de brechas no nos informa sobre los problemas o posibles problemas que se puedan presentar. Ese es un trabajo que hace la evaluación de riesgos.
Con la evaluación de riesgos entendemos la cantidad y la magnitud de los riesgos. Su probabilidad de ocurrencia y su capacidad de perjudicar. De hecho, la importancia de la evaluación de riesgos es tal, que, sin ella, no es posible completar el análisis de brechas, que, finalmente, será requerido al escribir la declaración de aplicabilidad.
Entonces, nos podemos quedar con dos conceptos claros:
- El análisis de brechas no sustituye a la evaluación de riesgos en ISO 27001.
- La evaluación de riesgos debe realizarse antes del análisis de brechas. De no ser así, el proceso resultaría incompleto y su enfoque sería dudoso.
Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013
Los alumnos del Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013, conocerán los requisitos de la norma y sus puntos clave, de modo que podrán implementar, mantener y auditar un SGSI con éxito.
Los interesados pueden obtener una plaza en este programa de cupo limitado inscribiéndose aquí.
