Documentos de Académico
Documentos de Profesional
Documentos de Cultura
activos
• El principio de confidencialidad se refiere a la propiedad de la
información, que pretende garantizar el acceso a la misma,
únicamente de las personas o sistemas autorizados.
• La integridad es un atributo de la información importante, ya que sin
este no sería posible la comunicación y la toma de decisiones para la
organización.
• La disponibilidad es tener la certeza de que la información va a estar
disponible en el momento que requiera ser accedida, por las
personas que tienen la autorización.
Identificación y Tasación
•
de activos Inventario de activos mediante observación y
levantamiento de información (trabajo de
campo)
• Metodología de las elipses. Consiste en la
identificación y tasación de los activos, se
emplea para ello la escala de Likert.
• La pregunta a efectuarse es: ¿Cómo una
perdida o una falla en un determinado activo
afecta la confidencialidad, integridad y
disponibilidad?.
• Luego se procede a la identificación de los
propietarios de los activos, quien es
responsable de definir la clasificación de
seguridad y derechos de acceso al activo, así
como de revisar periódicamente los derechos
de acceso y clasificación de seguridad.
• Además se debe definir documentar e
implementar reglas para el uso aceptable de
activos describiendo acciones permitidas y
prohibidas en su uso.
Identificación de
amenazas
• Los profesionales de riesgos saben que nunca se podrán eliminar todos los riesgos,
sobre todo cuando se habla de seguridad de la información. El riesgo residual es
inevitable, pero la organización necesita saber exactamente cuáles son esos riesgos y
cuál es su nivel después de aplicar el tratamiento planificado.
• La evaluación del riesgo residual en ISO 27001 se efectúa procediendo de la misma
forma que con la identificación de los riesgos para la seguridad de la información.
Utilizamos las mismas herramientas, metodologías y escalas de evaluación. La gran
diferencia es que ahora, además, debemos establecer el verdadero impacto de los
controles y las acciones destinadas a mitigar los riesgos que se han implementado.
Riesgo Residual
Cuando ya hemos logrado identificar los riesgos residuales, nos encontramos con tres opciones
diferentes:
• Es posible que el nivel de riesgo residual se encuentre por debajo de los niveles aceptables.
Entonces no será necesario emprender ninguna otra acción. La organización
simplemente aceptará ese nivel de riesgo y convivirá con él.
• El nivel de riesgo supera los límites tolerables. En este caso es preciso implementar acciones
o controles más eficaces para tratar el riesgo residual y mitigar su impacto.
• El coste de reducir o mitigar el riesgo residual es tan alto que supera los costes que asumiría
la organización si el riesgo ocurriera. Para esta situación lo más indicado es que la
organización acepte el nivel de riesgo. Corresponde, por supuesto, a la alta
dirección tomar la decisión final sobre los
niveles de riesgo residual a los que estará
expuesta la organización.
Plan de tratamiento de riesgos.
• Una vez que se han tomado las decisiones al tratamiento del riesgo, las actividades para poder
implantar tienen que ejecutarse.
• Es necesario identificar y planear las las activdades.
• El plan contiene lo siguiente:
• Actividades identificadas
• Desagregarse en subactividades
• Asignar responsabilidades
• Estimar los requerimientos de recursos
• Defnir los entregables del plan
• Determinar las fechas criticas
• Establecer el monitoreo y supervision
• Se trata de convertir el plan en un instrumento para gestionar un proyecto y debe manejarse como
tal.