Documentos de Académico
Documentos de Profesional
Documentos de Cultura
MAGERIT se basa en analizar el impacto que puede tener para la empresa la violación de
la seguridad, buscando identificar las amenazas que pueden llegar a afectar la compañía y
las vulnerabilidades que pueden ser utilizadas por estas amenazas, logrando así tener una
identificación clara de las medidas preventivas y correctivas más apropiadas.
Es posible que el nivel de riesgo residual se encuentre por debajo de los niveles
aceptables. Entonces no será necesario emprender ninguna otra acción. La
organización simplemente aceptará ese nivel de riesgo y convivirá con él.
El nivel de riesgo supera los límites tolerables. En este caso es preciso implementar
acciones o controles más eficaces para tratar el riesgo residual y mitigar su
impacto.
El coste de reducir o mitigar el riesgo residual es tan alto que supera los costes que
asumiría la organización si el riesgo ocurriera. Para esta situación lo más indicado
es que la organización acepte el nivel de riesgo.
g. ¿Qué es y cómo se define un plan para tratamiento de riesgo?
Plan de tratamiento de riesgos: Documento que define las acciones para gestionar los
riesgos inaceptables en el marco de la seguridad de la información e implantar los
controles necesarios para proteger la misma.
La gestión del riesgo se define como el proceso de identificar, analizar y cuantificar las
probabilidades de pérdidas y efectos secundarios que se desprenden de los desastres, así
como de las acciones preventivas, correctivas y reductivas correspondientes que deben
emprenderse.
h. ¿Para qué se debe formar y concientizar al personal implicado en el SGSI?
Es por esto que, si no se les explica a los trabajadores la necesidad de llevar estos pasos a
cabo, es probable que busquen algunas formas de eludir dichas reglas. La manera de
abordar este tema es explicándoles los beneficios que tendrá la organización con las
medidas de protección adecuadas.
También es importante explicarles los beneficios que obtendrán los trabajadores con
todos estos cambios. Si se utilizan contraseñas de alta seguridad, es menos probable que
alguien pueda acceder sin permiso a las cuentas, ya que si esto ocurriese sería el propio
empleado el que se tiene que hacer cargo de los daños que pueda producir el accidente.
I.¿Qué se pretende con la auditoría interna dentro del proceso de implementar un SGSI?
Comprobar que el SGSI que hemos implantado cumple con los requisitos de la
norma.
Comprobar que los requisitos y procesos de la organización han integrado
correctamente los requisitos de la seguridad de la información definidos en el SGSI