La evaluación de riesgos debe identificar, cuantificar y priorizar riesgos contra el criterio para la aceptación del riesgo y los objetivos relevantes para la organización. Los resultados deben guiar y determinar la apropiada acción de gestión y las prioridades para manejar la información de los riesgos de seguridad y para implementar controles seleccionados para proteger estos riesgos. El proceso de evaluación de riesgos y de seleccionar controles puede requerir que sea realizado un numero de veces con el fin de cubrir diferentes partes de la organización o sistemas de información individuales.
La evaluación del riesgo debe incluir un alcance sistemático sobre la estimación de la magnitud del riesgo (análisis del riesgo) y sobre el proceso de
comparar el riesgo estimado con el criterio para determinar el significado de los riesgos (valoración del riesgo).
comparar el riesgo estimado con el criterio para determinar el significado de los riesgos (valoración del riesgo).
Las evaluaciones del riesgo deben ser realizadas periódicamente para incluir los cambios en los requerimientos del sistema y en la situación del riesgo, por ejemplo en los activos, amenazas, vulnerabilidades, impactos, valoración del riesgo y cuando cambios significativos ocurran. Estas evaluaciones del riesgo deben ser emprendidas de una forma metódica, capaz de producir resultados comparables y reproducibles.
La evaluación de la información del riesgo de seguridad debe tener un alcance claro y definido para que este sea efectivo y debe incluir relaciones con las evaluaciones del riesgo en otras áreas, si es apropiado.
Tratando riesgos de seguridad
Antes de considerar el tratamiento de un riesgo, la organización debe decidir el criterio para determinar si es que los riesgos son aceptados o no. Los riesgos pueden ser aceptados si, por ejemplo, se evalúa que el riesgo es menor o que el costo de tratarlo no es rentable para la organización. Estas decisiones deben ser grabadas.
Para cada uno de los riesgos identificados, siguiendo la evaluación del riesgo, se necesita realizar una decisión del tratamiento del riesgo. Posibles opciones para el tratamiento del riesgo incluye:
a) Aplicar controles apropiados para reducir riesgos.
b) Riesgos aceptados objetivamente y con conocimiento, satisfaciendo claramente
el criterio para la aceptación del riesgo y la política de la organización.
c) Evitar riesgos no permitiendo realizar acciones que puedan causar que estos riesgos ocurran.
d) Transferir los riesgos asociados a terceros como son los proveedores y aseguradores.
Para esos riesgos donde la decisión del tratamiento del riesgo ha sido aplicado a controles apropiados, esos controles deben ser seleccionados e implementados para conocer los requerimientos identificados por una evaluación de riesgos. Los controles deben asegurarse de que los riesgos son reducidos a un nivel aceptable tomando en cuenta:
a) Exigencias y coacciones de las legislaciones y regulaciones nacionales e
internacionales.
b) Objetivos organizacionales.
c) Exigencias y coacciones operacionales.
d) Costo de la implementación y operación en relación con los riesgos que serán
reducidos y siendo proporcional a las exigencias y coacciones de la organización.
e) La necesidad para balancear la inversión en implementación y operación de los
controles contra el daño que pueda resultar de las fallas en la seguridad.
Deseas saber más?
DESCARGAR
DESCARGAR
0 comentarios:
Publicar un comentario