Criterios de aceptación del riesgo en ISO 27001: cómo definirlos

La cláusula 6.1.2 de ISO 27001 exige que la organización establezca y mantenga criterios de aceptación del riesgo de seguridad de la información. Estos criterios definen el umbral: ¿cuánto riesgo está dispuesta a tolerar la organización? Los riesgos que superan el umbral requieren tratamiento; los que están por debajo pueden aceptarse formalmente.

¿Qué son los criterios de aceptación?

Los criterios de aceptación del riesgo son los parámetros que la alta dirección define para determinar qué nivel de riesgo es tolerable para la organización. Están directamente relacionados con el apetito de riesgo (cuánto riesgo la organización está dispuesta a asumir para lograr sus objetivos) y la tolerancia al riesgo (la variación aceptable alrededor de los objetivos).

Cómo definir los criterios

Método cualitativo

Usando una matriz de riesgos con escalas de probabilidad (1-5) e impacto (1-5), define umbrales:

Factores a considerar

Los criterios deben considerar la naturaleza y criticidad de los activos de información, los requisitos legales y regulatorios (la Ley 21.663 puede imponer umbrales mínimos), las obligaciones contractuales con clientes, la capacidad financiera para absorber pérdidas, el impacto reputacional potencial, y los objetivos estratégicos de la organización.

Aprobación por la dirección

Los criterios de aceptación del riesgo deben ser aprobados por la alta dirección. Esta aprobación es esencial porque la aceptación de riesgos es una decisión de negocio, no técnica. La dirección es responsable de las consecuencias de los riesgos aceptados.

Profundiza con evaluación de riesgos, plan de tratamiento y matriz de riesgos.