PLANTILLA PARA DEFINICIÓN DEL

PLAN DE GESTIÓN O TRATAMIENTO DEL RIESGO

El Plan de Gestión de Riesgos (PGR) describe la estructura utilizada por el

Sistema de Gestión de la Seguridad de la Información (SGSI) para realizar la
gestión de riesgo en la organización.

El plan de Gestión de Riesgos debe incluir cómo mínimo los siguientes aspectos:

1. Alcance del plan de gestión del riesgo (PGR)

Define el alcance y propósito del plan de gestión del riesgo además de
proporcionar una visión general del contexto de la organización.

2. Roles y responsabilidades
Numero de miembros del equipo de gestión de riesgos junto con el rol que
desempeñaran y responsabilidades que tendrán asignadas.

3. Presupuesto
Estimación de los costes y recursos necesarios para ejecutar el plan de gestión de
riesgo con el fin de incluirlos dentro del presupuesto del SGSI.

4. Periodicidad
Cronograma en donde se define cuando y con qué frecuencia se realizara la
revisión y actualización de los procesos y procedimientos relacionados con la
gestión del riesgo.

5. Categorías del riesgo

Estructura o escala detallada que se utilizara para realizar la clasificación del
riesgo.

6. Inventario de activos expuestos

Relación de los activos especificando las amenazas a las que se encuentran
expuestos.

7. Matriz de probabilidad e impacto1

Hoja de cálculo en la que se realiza una aproximación generalizada de los riesgos
asociados con el manejo de la información en la organización (suministrada como
materiales del programa y elaborada anteriormente).

1 La matriz suministrada es producto del trabajo realizado por Markus Erb en su publicación "Gestión de
Riesgo en la Seguridad Informática" extraido el 1 de agosto de 2012 de
http://protejete.wordpress.com/descargas/