¿Conoces los requisitos para el análisis y gestión del riesgo según la ISO 27001?

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

¿Conoces los requisitos para el análisis y gestión del riesgo según la ISO 27001?

¿Conoces los requisitos para el análisis y gestión del riesgo según la ISO 27001?

ISO 27001

ISO 27001 es una herramienta a tener en cuenta para llevar a cabo el análisis y la gestión del riesgo en la seguridad de la información en las organizaciones, concretamente los requisitos necesarios exigidos por la misma referente a la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI).

En lo que respecta al análisis y gestión del riesgo es un proceso que se debe realizar ya que los activos de la información son vitales para las organizaciones. Estos activos tienen cierta vulnerabilidad y están expuestos a una serie de amenazas.

pmg 14

Si la amenaza logra acabar con esa vulnerabilidad existe la probabilidad de que se de lugar a un riego intrínseco que ocasione un gran impacto en la organización. Para evitarlo, se aplican diversos controles, que aunque evidentemente ocasionan unos costes, el riesgo intrínseco pasa a ser un riesgo residual. Para ello, las organizaciones deben realizar lo siguiente:

ANÁLISIS Y VALORACIÓN DE RIESGOS

1) Análisis de riesgos: empezamos con los activos y se realiza enfoques de mínimos, detallados, combinados e informales.

 2) Identificar amenazas:

  • Internas o externas
  • Accidentales o deliberadas

 

3) Identificar vulnerabilidades: este concepto debe quedar claro para los trabajadores de la organización. El conocimiento absoluto del negocio ayuda a identificar posibles debilidades o vulnerabilidades.

4) Documentar el análisis de riesgos: hay que tomar decisiones sobre la transmisión, mitigación, reducción o eliminación.

GESTIÓN Y TRATAMIENTO DE RIESGOS

Aquí ya sabemos cuáles son los riesgos que hay que mitigar, asumir o transferir, por tanto, hay que realizar un plan de implantación de controles. Dichos controles pueden ser organizativos o técnicos y correctivos o preventivos.

Hay que tener en cuenta la disponibilidad, los costes, el calendario, la aplicabilidad, la formación y los usuarios.

Se debe documentar el tratamiento de riesgos a través de un plan, y teniendo presente los recursos disponibles, los objetivos establecidos con anterioridad y la periodificación.

La Plataforma Tecnológica ISOTools ayuda a las organizaciones mediante la norma ISO-27001 al proceso de identificación de riesgos en la seguridad de la información, planificación de acciones correctivas y preventivas y al control de la eficiencia.

 

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…