Evaluacion de riesgos segun ISO 27001: 2013

Compartir esta publicacion

Share on facebook
Share on linkedin
Share on twitter
Share on email

PRIMERA PARTE

Todas las organizaciones corren riesgos de diferentes clases, entre ellos se encuentra fugas de información, ataques informáticos entre otros, la norma ISO 27001:2013, se diseñó para la identificación de los riesgos y tomar unas determinadas medidas respecto a estos así como otra serie de tareas relacionadas con la seguridad de la información a nivel organizacional; de antemano las empresas deben ser conscientes de la importancia que implica hacer una evaluación adecuada y tratamiento de riesgos de acuerdo a esta norma[1].

Si se quiere conseguir resultados altamente efectivos, se deben seguir varios parámetros en donde cada uno de estos exige conocer y aplicar cada proceso de forma adecuada. Es por ello que se necesita  conocer pasos fundamentales para la realización de la evaluación y tratamiento de los riesgos de acuerdo a la norma ISO 27001:2013 [1].

El estándar recomienda a las empresas identificar todo tipo de incidentes posibles, los cuales pueden representar alto riesgo para la seguridad de la información, como otra medida, la empresa debe implementar tareas que ayuden a evitarlos, después de haber establecido el grado de importancia de cada uno de los eventos [1].

Al momento de la ejecución de dicha tarea, toda empresa puede recurrir a algunos pasos básicos descritos a continuación [1].

  • Establecimiento de un Cuadro de Gestión de Riesgos: En este primer paso se definen las reglas indicadas para el control de la gestión de riesgos, también se escogen a los responsables de cada tarea, los métodos aplicados a la estimación de impacto y las posibilidades o probabilidades de que ocurran los riesgos [1].

Al tener una  estrategia o metodología de evaluación de los riesgos, se debe tratar cuatro temas [1].

  • Criterios de seguridad.
  • Escala de riesgo a emplear.
  • Evaluación de los riesgos basada en los activos de la organización.
  • Apetito o Exposición de riesgo de la organización.
  • Identificación de los Riesgos: En el proceso de la identificación de los riesgos, se puede encontrar aquellos implicados en la afectación de la confidencialidad, integridad y disponibilidad de la información, pero esta tarea es la mas tediosa y larga dentro del proceso de evaluación y tratamiento de riesgos. Por lo tanto, se recomienda escoger un proceso de evaluación que se base en activos [1].

Por otra parte se recomienda como punto de partida, hacer un listado de los activos de información, por la razón de que va a facilitar las labores de evaluación y tratamiento de riesgos [1]

Fuente

www.escuelaeuropeaexcelencia.com

www.escuelaeuropeaexcelencia.com

Suscríbete a nuestro Newsletter

Reciba actualizaciones y aprenda de los mejores

Más para explorar

Uncategorized

SEGURIDAD EN CRIPTOMONEDAS

La migración de los mercados al mundo digital, se ha venido dando desde varios años atrás, también los activos comienzan a jugar un nuevo papel

Estamos para ayudarte

Déjanos tus datos, nuestro equipo se pondrá en contacto para brindarte la mejor solución.

We are here to help you

Leave us your information, our team will contact you to provide you with the best solution.