AENOR 13 de negocio/activos de información mediante la aplicación de un proce-so de gestión de riesgos, y otorga a las partes interesadas confianza sobre la adecuada gestión de los riesgos. Esta nueva versión de la norma no determina cómo se evalúan los ries-gos y se alinea con la ISO 31000, refe-rencial de gestión de riesgos globales. Riesgos En la nueva UNE-ISO/IEC 27001:2014 se consideran riesgos y oportunida-des de mejora para las incidencias de seguridad, minimizando los riesgos y amenazas en los sistemas de informa-ción. Se pone en valor la nueva figura “dueño del riesgo” con la responsabi-lidad suficiente para aprobar el riesgo residual y el plan de tratamiento del riesgo. Recordemos que en la selec-ción de controles que hay que apli-car y el plan de tratamiento de riesgo debe existir un equilibrio de acuerdo a la máxima: riesgo vs control vs cos-te. Al fin y al cabo, hay que buscar la mayor eficiencia, eficacia y economía en la aplicación de la seguridad de la información siempre orientada a los objetivos del negocio. EXPERIENCIAS Mejor gestión del riesgo Pedro Muñoz Director de la División de Tecnología de Sistemas Informática El Corte Inglés (España) En Informática El Corte Inglés, proveedor de con-sultoría tecnológica, soluciones TIC y servicios de Outsourcing, como parte de nuestra estrategia y compromiso de ofrecer las máximas garantías de calidad en productos y servicios a los clientes, apos-tamos por la calidad en la gestión, implantando bue-nas prácticas y certificándolas acorde a requisitos recogidos en estándares internacionales. En esta línea, recientemente hemos acometido la adaptación de nuestro Sistema de Gestión a la Nor-ma ISO/IEC 27001:2013, lo cual se ha llevado a cabo en un año de trabajo en el que abordamos la revi-sión de todos los procedimientos de Seguridad de la Información. Disponíamos de dos sistemas de gestión, uno que in-tegraba los requisitos de las Normas UNE-EN ISO 9001 y UNE-ISO/IEC 20000-1; y otro para la Seguridad de la Información según la UNE-ISO/IEC 27001:2007. Gra-cias a la modificación de la versión 2013, que sigue las pautas marcadas por el Anexo SL, ambos han podido ser integrados en uno solo. Adicionalmente, el cambio de enfoque de gestión de riesgos de la nueva norma -que deja de estar ba-sado en activos, amenazas y vulnerabilidades- nos ha permitido simplificar la gestión extraordinaria-mente, unificando en una sola metodología las dos anteriores; una para los riesgos de seguridad de la información de acuerdo a la anterior ISO 27001, y otra de tratamiento de riesgos “por servicio”, acorde a la Norma ISO 20000-1. Igualmente hemos podido articular el concepto de “Dueño del Riesgo”, asig-nando cada riesgo a aquella persona que realmente lo conoce y puede valorar su impacto, responsabili-zándose de hacer todo lo posible para evitar su ocu-rrencia y mitigar las consecuencias en caso de llegar a materializarse, consiguiendo una gestión de ries-gos muy dinámica. El esfuerzo realizado se ha visto compensado, pues los cambios introducidos simplifican la gestión, ahorrando costes. Las organizaciones deben profundizar más en su conocimiento sobre el contexto en el que operan y las necesidades de las partes interesadas
298
To see the actual publication please follow the link above