GESTIÓN DE

RIESGOS
DOCENTE: NANCY COLMAN
AÑO: 2023
Gestión de Riesgos
Garantizar la seguridad de la
información es uno de los
objetivos prioritarios de
cualquier organización, pues la
información es uno de los
activos más importantes con
los que cuentan las
organizaciones
 Gestión de Riesgos
Para proteger adecuadamente la
información de una organización, primero,
hay que dar respuesta a cuatro preguntas
clave: QUÉ, DÓNDE, CÓMO y CUÁNDO.
QUÉ?
Hay que garantizar el acceso, la integridad,
disponibilidad, autenticidad, confidencialidad,
trazabilidad y conservación de la información de
la organización.
DÓNDE?

La información es almacenada, procesada y

transmitida por los Sistemas de Información
y Comunicaciones, por lo tanto para
garantizar la seguridad en todas sus
dimensiones y aspectos es necesario
garantizar la seguridad de los Sistemas de
Información y Comunicaciones de forma
global.
 Implementando salvaguardas o controles que ayudan
a securizar a la Información en todos sus estados y
medios. Mediante lo cual se logra:
• Minimizando la probabilidad de la materialización
de una amenaza.
• Disminuyendo el impacto en la organización, si no
se ha podido evitar la materialización de una
CÓMO? amenaza.
• Estableciendo procedimientos que permitan una
recuperación rápida de los daños sufridos y una
vuelta a la operativa normal.
• Utilizando mecanismos que permitan modificar las
salvaguardas de acuerdo con la experiencia
adquirida en los incidentes anteriores.
CUANDO?
La información hay que protegerla durante
todo su ciclo de vida, desde el momento en el
que el dato entra en el sistema, hasta el
momento en que deja de ser útil y se procede a
su destrucción, pasando por todas las fases del
ciclo de vida de la información,
almacenamiento, proceso, transmisión y
utilización
Primeros pasos en la Gestión de Riesgos
Para que una organización pueda garantizar de
forma adecuada la seguridad de uno de sus
principales activos, la información, es necesario
que analice y gestione los riesgos a los que está
expuesta.
Por medio del análisis de riesgos, una
organización obtiene el conocimiento de a que
está expuesta, le permite identificar los riesgos
que le podrían impedir lograr sus objetivos de
negocio, determinando su magnitud e
identificando las áreas que requieren medidas de
salvaguarda o controles en función del riesgo
detectado.
 La Gestión de Riesgo debe:
» Ser una parte integral de todos los » Integrar factores humanos y culturales.
procesos de negocio. » Ser transparente y participada por las partes
interesadas de la organización.
» Crear y proteger el valor.
» Ser dinámica, iterativa y responder a los
» Formar parte de la toma de decisiones. cambios.
» Tratar explícitamente la incertidumbre » Facilitar la mejora continua.
» Ser sistemática, estructurada y oportuna.
» Estar basada en la mejor información posible.
» Ser adaptable.
ISO 31000: 2018
Gestión del Riesgo
–Directrices
 Esta norma proporciona a las organizaciones
una herramienta para gestionar el riesgo,
Gestión del Riesgo – que no es otra cosa que la incertidumbre que
generan los factores e influencias tanto
Directrices internas y como externas a las que está
expuesta una organización, y que pueden
poner en peligro el cumplimiento de sus
objetivos.
• Las organizaciones deben comunicar y consultar a las
partes interesadas aquellos aspectos que les afecten, y
llevar a cabo una revisión y seguimiento tanto del riesgo,
como de los controles que lo modifican, con el objeto de
tener un conocimiento del nivel de riesgo al que está
expuesta y facilitar información para la tomar de
decisiones, implantando tratamientos del riesgo
adicionales cuando sea necesario.
Práctica de Gestión
de Riesgo
 MATRIZ DE RIESGOS
Activo Vulnerabilidad Probabilidad de Impacto Nivel de Riesgo (PO x I) Mitigación
Ocurrencia