HEADERTOP TELEFONO PAISES IP Y REDES

BUSINESS SCHOOL - 00 34 912 797 949

Formación online para los profesionales de los Sistemas de Gestión
Imagen de perfil

Propietarios de riesgos vs. propietarios de activos en ISO 27001:2013

Propietarios de riesgos

Propietarios de riesgos es un concepto novedoso que incorporó la edición 2013 de la norma ISO 27001. Novedoso y a la vez polémico, ya que generó confusión entre los profesionales de la seguridad de la información, pues parece que reemplaza al antiguo “propietarios de activos” y persiste la duda sobre si este último sigue siendo válido o no.

¿Quiénes son los propietarios de riesgos en ISO 27001:2013?, ¿reemplazan a los “propietarios de activos” presentes en la revisión 2005 de la norma? Estas son las preguntas que respondemos en nuestra entrada de hoy.

Botón Curso 27001

Diplomado Online: Sistemas de Gestión de Seguridad de la Información con la ISO 27001:2013

¿Sigue siendo válido el propietario del activo?

Sí. Este es el primer concepto que debe quedar claro. Tanto en la revisión 2005 de ISO 27001 ( y anteriores), como en la nueva ISO 27001:2013, aparece el concepto de “propietario de activos” como un control incluido en el Anexo A.

La definición es muy sencilla: se trata de determinar a la persona que es responsable de cada activo en la organización. Recordemos que los activos para ISO 27001 van más allá de la información. Hacen referencia al software, hardware, las personas, los proveedores de servicios, las instalaciones, e incluso el papel.

Para ISO 27001 la figura del “propietario de activos” es muy importante. Y es natural que así sea, después de todo, ¿quién cuidaría de un activo si no tiene un responsable? El propietario del activo asegura que ese activo bajo su responsabilidad este protegido y seguro.

¿Y los propietarios de riesgos?

En este punto es en donde existe una diferencia conceptual entre la versión 2005 y la edición 2013 de ISO 27001. Pero para entenderla debemos hacer una revisión histórica del tema y sus variaciones en estas dos últimas revisiones.

La versión 2005 requiere identificar a los propietarios de activos como parte del proceso de evaluación de riesgos, y también como un control contenido en el Anexo A. Pero ISO 27001:2013 no exige este requisito. Tan solo lo mantiene como control en el Anexo A. De hecho, la edición 2013 ya no requiere la evaluación de riesgos basada en activos y deja libertad a la organización para que realice evaluaciones de riesgo utilizando los métodos que crea convenientes.

Esto no significa que algunas organizaciones no utilicen la evaluación de riesgos basada en activos, sobre todo si han optado por aplicar los controles A.8.1.1 y A.8.1.2, contenidos en el Anexo A.

Entonces, ¿quiénes son los propietarios de riesgos en ISO 27001:2013? La norma define textualmente a los propietarios de riesgos como “las personas o entidades que tienen la responsabilidad y la autoridad para gestionar un riesgo”. En palabras un poco más sencillas, es una persona que quiere y puede gestionar y resolver un riesgo.

Veamos un ejemplo: un servidor es un activo para ISO 27001. El administrador de TI puede ser el propietario de este activo, en tanto que su superior, jefe del departamento de TI, puede ser uno de los propietarios de riesgos asociado con ese servidor. El concepto de propietarios de riesgos aparece como una necesidad de diferenciar al propietario del activo sin autoridad, de aquel que, aunque no sea propietario del activo, tiene la autoridad suficiente para gestionar un riesgo inherente al activo en cuestión.

Otra interesante conclusión es que los propietarios del activo, también pueden ser propietarios del riesgo, eventualmente. Una condición no excluye a la otra.

#ISO27001 incorpora un concepto nuevo. #PropietariosRiesgo. Hoy conocemos cuál es su diferencia con los propietarios de activos. Clic para tuitear

Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013

Una forma de aprender a identificar los propietarios de riesgos en ISO 27001, es participando en el Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013Este programa de formación de la Escuela Europea de Excelencia aporta a sus alumnos todas las herramientas y competencias necesarias para implementar, mantener y auditar un sistema de gestión de seguridad de la información en cualquier tipo de organización.

Si está interesado en este programa de alta calidad, puede inscribirse aquí.

Tira Curso 27001

New Call-to-action
arriba

ESCUELA EUROPEA DE EXCELENCIA ©2018 Todos los derechos reservados.

Entrar

Register

Create an Account
Create an Account Back to login/register
X