ISMS Copilot
Glosario de ISO 27001

¿Qué es el Tratamiento de Riesgos en ISO 27001?

Descripción general

El Tratamiento de Riesgos es el proceso de seleccionar e implementar opciones para abordar los riesgos de seguridad de la información identificados durante la evaluación de riesgos. Es un requisito obligatorio en ISO 27001:2022 (Cláusula 6.1.3 y Cláusula 8.3) que sirve de puente entre la evaluación de riesgos y la implementación práctica de controles de seguridad.

El tratamiento de riesgos transforma los hallazgos de su evaluación de riesgos en decisiones accionables sobre cómo manejar cada riesgo identificado mediante cuatro enfoques estandarizados.

El Tratamiento de Riesgos en la práctica

Tras completar una evaluación de riesgos, debe decidir cómo abordar cada riesgo basándose en el apetito de riesgo y los recursos de su organización. La norma ISO 27001:2022 le exige:

  • Seleccionar las opciones de tratamiento de riesgos adecuadas para cada riesgo identificado

  • Determinar los controles necesarios para implementar las opciones elegidas (normalmente del Anexo A)

  • Comparar los controles seleccionados con el Anexo A y justificar cualquier exclusión

  • Documentar las decisiones en un Plan de Tratamiento de Riesgos

  • Obtener la aprobación de los propietarios de los riesgos

El tratamiento de riesgos debe documentarse en su Declaración de Aplicabilidad (SoA), mostrando qué controles del Anexo A ha seleccionado y por qué.

Las cuatro opciones de tratamiento de riesgos

ISO 27001:2022 proporciona cuatro enfoques estandarizados para el manejo de riesgos:

1. Modificación de riesgos (Mitigación)

Aplicar controles de seguridad para reducir el riesgo a un nivel aceptable. Este es el enfoque más común e implica la implementación de controles del Anexo A.

Ejemplo: Implementar controles de acceso (A.5.15) y cifrado (A.8.24) para reducir el riesgo de acceso no autorizado a los datos.

2. Evitación de riesgos

Eliminar el riesgo mediante el cese de la actividad que lo genera.

Ejemplo: Dejar de utilizar un sistema heredado vulnerable migrando a una plataforma en la nube segura.

3. Intercambio de riesgos (Transferencia)

Compartir el riesgo con otra parte, normalmente mediante seguros o contratos de externalización.

Ejemplo: Contratar un ciberseguro o utilizar un proveedor de servicios de seguridad gestionados para la monitorización de amenazas.

4. Retención de riesgos (Aceptación)

Aceptar el riesgo cuando este se encuentra dentro de sus criterios de aceptación de riesgos y el coste del tratamiento supera el impacto potencial.

Ejemplo: Aceptar el bajo riesgo de robo físico en un edificio de oficinas vigilado que ya cuenta con controles existentes.

La aceptación de riesgos requiere la aprobación documentada de los propietarios de los riesgos y debe alinearse con los criterios de aceptación de riesgos de su organización definidos en la Cláusula 6.1.2.

Plan de Tratamiento de Riesgos

Su Plan de Tratamiento de Riesgos es un documento obligatorio (Cláusula 6.1.3) que especifica:

  • Las opciones de tratamiento de riesgos elegidas para cada riesgo

  • Qué controles se implementarán y por qué

  • Responsabilidades y plazos de implementación

  • Requisitos de recursos

  • Cómo se medirá la eficacia

Conexión con los controles del Anexo A

El tratamiento de riesgos determina directamente cuál de los 93 controles del Anexo A debe implementar. Su SoA debe mostrar:

  • Controles seleccionados basados en las decisiones de tratamiento de riesgos

  • Controles ya implementados

  • Justificación para excluir cualquier control del Anexo A

Utilice ISMS Copilot para generar opciones de tratamiento de riesgos para escenarios específicos o cree un Plan de Tratamiento de Riesgos personalizado basado en los hallazgos de su evaluación.

Términos relacionados

¿Te fue útil?