Todo el sistema de gestión de seguridad de la información de la ISO 27001 se sostiene sobre una cosa: el análisis de riesgos. De él salen los controles que la organización decide aplicar y la declaración de aplicabilidad que el auditor revisa cláusula por cláusula. Cuando el análisis está bien hecho, el resto del sistema fluye; cuando se hace al revés —eligiendo controles primero y justificándolos después— el sistema completo queda sobre una base que no se sostiene en la auditoría.
Las cláusulas 6.1.2 y 6.1.3 de la ISO 27001 exigen definir un proceso de apreciación de riesgos de seguridad de la información y un proceso de tratamiento. La apreciación debe identificar los riesgos asociados a la pérdida de confidencialidad, integridad y disponibilidad de la información dentro del alcance del sistema, analizarlos y evaluarlos con criterios definidos. El tratamiento debe seleccionar opciones para abordar esos riesgos y determinar los controles necesarios, comparándolos con los del Anexo A para no dejar ninguno fuera sin justificación.
¿Quieres implementar tu sistema de gestión?
La declaración de aplicabilidad (SoA) —el documento estrella de la ISO 27001— lista cada control del Anexo A, indica si aplica o no y por qué, y solo tiene sentido si sale del análisis de riesgos. Si los controles se eligieron sin ese sustento, la SoA queda inconsistente y el auditor lo detecta al pedir la trazabilidad entre un riesgo y su control. Mantener ese vínculo vivo —cada riesgo con su tratamiento, su control y su responsable, recalculado cuando cambia el contexto— es justo lo que hace un Software de gestión de riesgos y oportunidades: conserva la apreciación de riesgos conectada con las acciones de tratamiento y evita que la matriz se congele en la foto que se armó para la certificación.
Empieza hoy
Sin compromisos. Sin presentaciones genéricas. Te escuchamos, entendemos tu empresa y te decimos honestamente qué necesitas y cómo podemos ayudarte.
Reunión confirmada
Solicitud enviada · Mié 2 Abr, 10:00 AM
Déjanos tus datos y un consultor se pone en contacto contigo en menos de 30 minutos.