¿Cómo planificar la implementación de un SGSI?

Objetivos de seguridad de la información y planificación para alcanzarlos

La organización debe establecer los objetivos de seguridad de la información en las funciones y niveles pertinentes.

Los objetivos de seguridad de la información deberán:

1. Ser coherente con la política de seguridad de la información.
2. Ser medibles (si es posible) calculando costes económicos, de personal y tiempo de ejecución.
3. Tener en cuenta los requisitos de seguridad de la información aplicables, los resultados de la evaluación de riesgos y el tratamiento del riesgo.
4. Ser comunicados.
5. Ser actualizados, según corresponda. Normalmente, los objetivos de seguridad se definen anualmente tras la reunión del Comité de Seguridad y suelen incluir formación, aplicación de nuevos controles para reducir el nivel de riesgo y mejoras de los controles ya aplicados.

La organización conservará información documentada sobre los objetivos de seguridad de la información.

Al planificar cómo alcanzar sus objetivos de seguridad de la información, la organización debe determinar, tal y como se indica a continuación:

1. Qué se hará.
2. Qué recursos se necesitarán.
3. Quién será el responsable.
4. Cuándo se darán por alcanzados los objetivos.
5. Cómo se evaluarán los resultados.

Medidas para abordar los riesgos y oportunidades

Al planificar el Sistema de Gestión de Seguridad de la Información, la organización debe tener en cuenta el contexto, tanto interno como externo, y los problemas que de él se derivan y que pueden afectar a su capacidad para lograr los objetivos propuestos. Además, tendrá en cuenta las partes interesadas y los requerimientos de cada una de ellas en relación con la seguridad de la información.

En base a esto, podrá determinar los riesgos y oportunidades de su Sistema de Gestión de Seguridad de la Información, teniendo en cuenta que los objetivos fundamentales a la hora de abordar los riesgos y oportunidades son:

1. Asegurar que el Sistema de Gestión de Seguridad de la Información puede alcanzar los objetivos planteados.
2. Prevenir o reducir los efectos no deseados.
3. Lograr la mejora continua.

Una vez definidos los riesgos y oportunidades del SGSI, se podrán planificar:

1. Las acciones para hacer frente a los riesgos y oportunidades.
2. La forma de:
   1. Integrar y poner en práctica las acciones correctivas.
   2. Evaluar la eficacia de estas acciones.
   3. Conocer los aspectos fundamentales de la evaluación de riesgos.

Planificación y control operacional

La organización debe:

1. Planificar, ejecutar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la información y para poner en práctica las acciones para hacer frente a los riesgos y oportunidades:
   1. Asegurando que el Sistema de Gestión de Seguridad de la Información puede lograr su resultado.
   2. Previniendo o reduciendo los efectos no deseados.
   3. Logrando la mejora continua.
   4. Las acciones para hacer frente a estos riesgos y oportunidades.
2. Poner en práctica planes para alcanzar los objetivos de seguridad de la información. La organización debe establecer los objetivos de seguridad de la información en las funciones y niveles pertinentes, que deberán:
   1. Ser coherentes con la política de seguridad de la información.
   2. Ser medibles.
   3. Tener en cuenta los requisitos de seguridad de la información aplicables y los resultados de la evaluación de riesgos y el tratamiento del riesgo.
   4. Ser comunicadas y actualizadas, según corresponda.
3. Mantener la información documentada en la medida necesaria para tener confianza en que los procesos se han llevado a cabo según lo previsto.
4. Controlar los cambios previstos y revisar las consecuencias de los cambios no deseados, la adopción de medidas para mitigar los posibles efectos adversos, según sea necesario.
5. Asegurarse de que los procesos de seguridad externalizados se determinan y controlan.

Información de la evaluación de riesgos de seguridad

La organización debe llevar a cabo las evaluaciones de riesgos de seguridad de información a intervalos planificados o cuando se proponen, o se producen, cambios significativos, teniendo en cuenta los criterios establecidos para la evaluación de riesgos de seguridad. La organización conservará información documentada de los resultados de las evaluaciones de riesgos de seguridad de información.

Es el momento de determinar si los riesgos son aceptables o si requieren tratamiento, utilizando los criterios para la aceptación de los riesgos establecidos. Para ello, se dispone de una lista de riesgos con los niveles de valor asignado y los criterios de análisis de los riesgos.

El nivel de riesgo debe ser comparado con los criterios de evaluación de riesgos y criterios de aceptación del riesgo.

La naturaleza de las decisiones relativas a los criterios de valoración de riesgos y evaluación de los riesgos que se utiliza para tomar esas decisiones se habría decidido previamente con la determinación de la metodología específica.

Estas decisiones y el contexto de aplicación de la metodología de análisis de riesgos deben ser revisados con más detalle en esta etapa, ya que es ahora cuando se conoce más acerca de los riesgos específicos identificados.

Al evaluar los riesgos, las organizaciones deben comparar los riesgos estimados (mediante los métodos seleccionados o enfoques comentados) con los criterios de evaluación de riesgo definidos en el establecimiento de contexto, y en función de la propia sistemática y las dificultades y resultados obtenidos, decidir si son susceptibles de revisarse para alcanzar el procedimiento de evaluación más adecuado.

Los criterios de evaluación de riesgos utilizados para tomar decisiones deben ser consecuentes con los objetivos de la organización y las aportaciones de los participantes, de modo que, entre otras consideraciones:

1. Las propiedades de seguridad de la información: si un criterio no es relevante para la organización (por ejemplo, la pérdida de confidencialidad), entonces todos los riesgos que afectan a este criterio pueden ser no relevantes.
2. La importancia de los procesos de negocio o actividad con el apoyo de un activo, o un conjunto de activos: si el proceso se determina que es de poca importancia, riesgos asociados a ella se debe dar una baja consideración de los riesgos que afectan a los más importantes procesos o actividades.

Las decisiones adoptadas en la actividad de evaluación de riesgo se centran principalmente en la aceptación del nivel de riesgo para cada activo analizado. Sin embargo, se debe considerar que las consecuencias, la probabilidad y el grado de confianza en la identificación de los riesgos desarrollado mediante el propio proceso de análisis, puede resultar en una posible agregación de múltiples riesgos bajos o medios que deben abordarse, aunque individualmente puedan quedar relegados a un segundo plano por aquellos niveles de riesgo más altos.

La evaluación de riesgos utiliza el conocimiento en los riesgos obtenido por el análisis de riesgos para tomar decisiones relevantes sobre las futuras acciones. Las decisiones deben considerar:

1. Las actividades que se llevarán o no a cabo.
2. Las prioridades para el tratamiento del riesgo, teniendo en cuenta los niveles de riesgo estimados.

Durante la etapa de evaluación de riesgos, los requisitos contractuales, legales y reglamentarios son factores que se deben tener en cuenta, además de los riesgos estimados. El resultado de la evaluación de riesgos es una lista de los riesgos priorizados en relación a los escenarios de incidentes que guían esos riesgos.