El Plan de Tratamiento de Riesgos en la norma ISO 27001 2017

Una vez evaluados y seleccionados aquellos Riesgos que consideramos inaceptables, es el momento de aplicar nuevos Controles para reducir su probabilidad e impacto, y convertirlos así en residuales. Primero deberemos determinar que Controles queremos implementar, en segundo lugar planificar su implantación, y por último realizar el seguimiento y valorar los resultados obtenidos. Todo ello formará parte del Plan de Tratamiento de Riesgos de nuestro Sistema de Gestión de la Seguridad de la Información.

La norma ISO 27001 incluye en su Anexo A una completa lista de Controles que deberemos aplicar en nuestro Sistema de Gestión de Seguridad de la Información. Algunos de ellos ya los tendremos implementados, otros deberemos implantarlos en nuestra organización, y algunos no nos resultarán de aplicación. Es una lista de mínimos, por lo que podremos incluir nuestros propios Controles, según los Riesgos que tengamos debido a nuestra actividad y entorno.

IMPORTANTE: El Plan de Tratamiento de Riesgos debe formar parte de la información documentada del Sistema de Gestión de la Seguridad de la Información, ya que es un requisito explícito de la norma ISO 27001.

Paso 1: Determinar los Controles

Todos los Controles del Anexo A de la norma ISO 27001 deberán ser implementados en nuestra organización, a no ser que no nos apliquen. Así que tendremos que revisar uno a uno, indicando si nos aplica o no, y dando las razones de inclusión o exclusión en cada caso. Esta información estará contenida en la Declaración de Aplicabilidad, que es un documento exigido por la norma ISO 27001.

Los Controles que podemos implementar en nuestra empresa, son:

1. Controles del Anexo A: Los controles del Anexo A de la norma ISO 27001 que nos resulten de aplicación. Es una lista de mínimos, por lo que deberemos implantar todos los que sean coherentes con nuestra actividad.
2. Controles de otras fuentes: Otros Controles extraídos de listas oficiales, legislación aplicable u otras normas ISO. Como puede ser los Controles exigidos por la Ley Orgánica de Protección de Datos.
3. Controles propios: Controles personalizados y propios de nuestra empresa, adaptados a su actividad, su entorno y a sus condiciones particulares.

NOTA: En ocasiones se introduce el concepto de Madurez de un Control, que nos ayuda a conocer como de implantado y optimizado está dicho Control en la Organización. El diferenciar entre varias fases de implantación de un Control, nos puede ayudar a implantar aquellos Controles que más tiempo y dinero requieren. Definiendo acciones anuales que nos ayuden a alcanzar un nivel superior de madurez, y que al cabo de varios años garantizará que el Control estará en su nivel óptimo.

Paso 2: Planificar y aprobar

Una vez tengamos claro los Controles que tenemos que implantar en nuestro Sistema de Gestión de la Seguridad de la Información, es el momento de planificar como lo vamos a hacer. No todos los Controles son igual de fáciles y rápidos de aplicar, y muchos pueden llevar asociados gastos de material o la subcontratación de servicios.

Un Plan de Tratamiento de Riesgos, deberá contener al menos:

1. Los objetivos: Por un lado definiremos el Objetivo del Plan de Tratamiento de Riesgos, que siempre estará asociado a reducir los riesgos a niveles aceptables para la organización. Y por otro lado los objetivos particulares de cada Control, que variarán en cada caso.
2. Plazos de ejecución: El plazo de ejecución del Plan de Tratamiento de Riesgos, vendrá fijado por las acciones y tareas que contenga. Asi que los Controles más complejos de implantar, serán los primeros en abordar, y los que determinarán cuando finaliza el Plan.
3. Responsables: Toda acción o tarea definida en el Plan de Tratamiento de Riesgos deberá tener un Responsable. Lo habitual es asignar un Responsable por cada Control a implantar o mejorar, que se preocupe de cumplir los plazos y alcanzar los objetivos fijados para dicho Control.
4. Presupuestos y recursos: Todas las Acciones definidas incluirán horas de dedicación de personal propio de la empresa, que deben ser cuantificadas y valoradas. Pero otras acciones requerirán la compra de equipos o subcontratación de servicios, que hay que tener muy en cuenta.
5. Indicadores y métricas: Quizás sea el punto más complejo de definir, dado que encontrar una métrica objetiva que nos ayude a determinar si se ha alcanzado el objetivo esperado, con la implantación u optimización de un determinado Control, no suele ser fácil. La norma ISO 27004, nos puede ayudar en esta complicada labor.

Es un requisito de la norma ISO 27001 2017, que los Propietarios de los Riesgos aprueben el Plan de Tratamiento de Riesgos. Y por tanto, acepten los riesgos residuales que quedarán pendientes de tratar, al considerarse aceptables. También es importante que lo haga la Dirección de la empresa, dado que se incluye presupuestos de gasto que deberán ser compatibles con el Plan Financiero de la organización.

NOTA: El Plan de Tratamiento de Riesgos puede ser definido para uno o varios años, pero no es conveniente dilatarlo demasiado. Dado que los cambios en el Contexto de la organización, pueden generar nuevos Riesgos que se deberán priorizar según la evaluación de los mismos. Lo que puede suponer cambios importantes en el Plan de Tratamiento de Riesgos, y dejar acciones sin terminar de implementar. Suele ser habitual hacer al menos una valoración de los Riesgos, y por tanto un Plan de Tratamiento de Riesgos, cada año.