09 noviembre 2006

Planes de Tratamiento de Riesgos

Aunque parezca llamativo, una de las principales dudas que suele existir a la hora de implementar un SGSI es cómo abordar el RTP (Plan de Tratamiento de Riesgos), una vez que disponemos del análisis de riesgos. El objetivo de este post es intentar aclarar cómo encajar esta tarea, tan común en la práctica, con los conceptos ya conocidos dentro del ámbito de la consultoría de seguridad.

Si recurrimos a la ISO27001, vemos cómo, si hemos seleccionado una estrategia de reducción de riesgos para todos aquellos que en el análisis superan el umbral aceptado, tenemos que seleccionar los controles más apropiados para reducir todos esos riesgos excesivos identificados. Para cada riesgo analizaremos la efectividad y coste de los controles aplicables, y seleccionaremos los más adecuados.

Una vez que disponemos del listado de controles a aplicar, tendremos que articularlos. Habrá que definir los proyectos de implementación correspondientes, especificando tareas, responsables, tiempos y recursos. Este plan de proyectos constituirá el RTP. Así de sencillo. El RTP no implica la utilización de un formato determinado, ni de un tipo de archivo concreto para su representación. Símplemente tiene que articular el plan de proyectos definido para reducir los niveles de riesgo identificados por debajo del umbral máximo determinado.

En una terminología más común, este RTP es sencillamente un Plan de Choque o Plan de Acción a Corto Plazo, que busca la reducción de los riesgos identificados como excesivos a través de medidas concretas de resolución de problemas específicos. Algo que ya se llevaba a cabo sin necesidad de un SGSI, pero que la ISO27001 obliga a realizar de forma estructurada, repetible y consistente.

De acuerdo a esta terminología "clásica", el Plan de Choque suele ir unido a un Plan Director de Seguridad o Plan de Seguridad a Medio/Largo Plazo, que complementa las medidas a corto plazo del Plan de Choque con otra serie de medidas más generales de "defensa en profundidad", que tratan de afianzar la seguridad y reforzar sus bases. Y resulta que este Plan Director de Seguridad no es otra cosa, dentro de un SGSI, que el plan de implementación del resto de los controles (técnicos, organizativos, operativos y contractuales) aplicables, que destaca y prioriza los controles más "importantes" y su acometida, pero que al fin y al cabo lo que define son la estrategias de gestión de la seguridad que la organización debe seguir a medio y largo plazo, articulado en formato "proyectos".

Y la conclusión de este post es, como no podía ser de otra forma, que la implantación de un SGSI en cualquier organización no es algo tan complejo como pueda parecer a priori, puesto que en la práctica son tareas que de un modo u otro ya se realizan en la mayor parte de las organizaciones. Y un SGSI, en el fondo, no es más que llevar a cabo esas tareas de una forma un poco más organizada.

1 comentario:

rafadimelo dijo...

Opino exactamente igual que tu, Joseba.
Hay una extraña obsesión por complicarse la vida a la hora de abordar proyectos de este tipo. Me resulta curioso la expresión en la cara de muchos clientes cuando se dan cuenta de que siempre es cuestión de aplicar una buena dosis de sentido común, con acciones eminentemente prácticas y fijando unos objetivos claros y asumibles.
Por lo menos, entendibles, que ya es mucho.