El concepto de riesgo residual en ISO 27001 es el mismo que se conoce en el área de gestión de riesgos aplicada a cualquier otro estándar, o en cualquier área de la organización. El término es utilizado con frecuencia, pero generalmente no se entiende ni la importancia ni el significado real que tiene, especialmente para la seguridad de la información.
Su definición es sencilla: el riesgo residual en ISO 27001 es aquel que persiste, aun después de tomar las medidas necesarias para tratar los riesgos identificados. A continuación, nos acercamos un poco más a esta cuestión explicando cómo funciona y se gestiona el riesgo residual en ISO 27001 y cómo saber qué nivel del mismo es aceptable para la organización.
¿Cómo funciona el riesgo residual en ISO 27001?
Habitualmente, una vez identificados los riesgos, se procede a implementar las acciones correspondientes para eliminar algunos de ellos y mitigar el impacto o disminuir la probabilidad de ocurrencia de otros.
Los profesionales de riesgos saben que nunca se podrán eliminar todos los riesgos, sobre todo cuando se habla de seguridad de la información. El riesgo residual es inevitable, pero la organización necesita saber exactamente cuáles son esos riesgos y cuál es su nivel después de aplicar el tratamiento planificado.
La evaluación del riesgo residual en ISO 27001 se efectúa procediendo de la misma forma que con la identificación de los riesgos para la seguridad de la información. Utilizamos las mismas herramientas, metodologías y escalas de evaluación. La gran diferencia es que ahora, además, debemos establecer el verdadero impacto de los controles y las acciones destinadas a mitigar los riesgos que se han implementado.
Está claro que el riesgo residual siempre existirá. De lo que se trata, por tanto, es de saber el verdadero nivel de riesgo al que está expuesta la organización y si ese nivel es tolerable.
Gestión del riesgo residual en ISO 27001
Cuando ya hemos logrado identificar los riesgos residuales, nos encontramos con tres opciones diferentes:
- Es posible que el nivel de riesgo residual se encuentre por debajo de los niveles aceptables. Entonces no será necesario emprender ninguna otra acción. La organización simplemente aceptará ese nivel de riesgo y convivirá con él.
- El nivel de riesgo supera los límites tolerables. En este caso es preciso implementar acciones o controles más eficaces para tratar el riesgo residual y mitigar su impacto.
- El coste de reducir o mitigar el riesgo residual es tan alto que supera los costes que asumiría la organización si el riesgo ocurriera. Para esta situación lo más indicado es que la organización acepte el nivel de riesgo.
Corresponde, por supuesto, a la alta dirección tomar la decisión final sobre los niveles de riesgo residual a los que estará expuesta la organización. Después de todo es ella la responsable de la conducción de la organización, de su viabilidad y de la toma de las decisiones de fondo.
Identificar y tratar el #RiesgoResidual en #ISO27001 es tan importante como la evaluación inicial de riesgos. Aprenda cómo hacerlo hoy. Clic para tuitear¿Cuándo es aceptable cierto nivel de riesgo residual en ISO 27001?
El propósito principal de la gestión del riesgo residual en ISO 27001 es conocer la eficiencia de las acciones y los controles implementados. Pero, ¿qué nivel de riesgo podemos considerar aceptable? ¿Cómo saber qué es suficiente?
Resulta evidente que debe existir un nivel aceptable de riesgos que dependerá de la política sobre seguridad de la información publicada por la organización y del entorno en donde se desenvuelve la misma. Seguro que, para una organización del sector financiero, la tolerancia de un nivel de riesgo residual alto es inadmisible. En cambio, los mismos niveles pueden ser aceptados en una organización industrial dedicada a la fabricación de muebles.
En cualquier caso, es la organización, encabezada por la alta dirección, la que debe tomar estas decisiones, al igual que promover y generar espacios propicios para la capacitación de los líderes del sistema de gestión de la seguridad de la información.
Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013
La gestión de riesgos en ISO 27001, sus herramientas y las diferentes metodologías existentes para su evaluación son algunos de los temas que se abordan con profundidad en el Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013.
Se trata de un programa de alta calidad, actualizado a la más reciente edición de la norma. Con él usted y los profesionales de su organización podrán implementar y auditar satisfactoriamente un sistema de gestión de seguridad de la información basado en ISO 27001.
Si está interesado, consulte más información aquí.
