Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Expo

    Cargado por

    noesilvasilva733
    5 vistas2 páginas
    La planificación es una fase esencial para implementar la ISO 27001 e implica establecer objetivos de seguridad de la información, realizar un análisis de riesgos, y obtener la aprobación de la gerencia para implementar el Sistema de Gestión de Seguridad de la Información. La evaluación de riesgos y oportunidades introduce un enfoque sistemático para analizar amenazas y establecer acciones para abordar riesgos y oportunidades. El proceso de evaluación de riesgos debe adoptarse dentro del núcleo del

    Descripción original:

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    La planificación es una fase esencial para implementar la ISO 27001 e implica establecer objetivos de seguridad de la información, realizar un análisis de riesgos, y obtener la aprobación de la gerencia para implementar el Sistema de Gestión de Seguridad de la Información. La evaluación de riesgos y oportunidades introduce un enfoque sistemático para analizar amenazas y establecer acciones para abordar riesgos y oportunidades. El proceso de evaluación de riesgos debe adoptarse dentro del núcleo del

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    5 vistas2 páginas

    Expo

    Cargado por

    noesilvasilva733
    La planificación es una fase esencial para implementar la ISO 27001 e implica establecer objetivos de seguridad de la información, realizar un análisis de riesgos, y obtener la aprobación de la gerencia para implementar el Sistema de Gestión de Seguridad de la Información. La evaluación de riesgos y oportunidades introduce un enfoque sistemático para analizar amenazas y establecer acciones para abordar riesgos y oportunidades. El proceso de evaluación de riesgos debe adoptarse dentro del núcleo del

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 2

    6.

    Planificación

    Se trata de una fase esencial a la hora de implantar la ISO 27001. La idea aquí es
    establecer los objetivos de seguridad de la información que se quieren seguir
    y realizar un análisis del riesgo a los que se enfrenta la compañía. En esta fase
    también es esencial que el
    gestor de riesgos o experto en Ciberseguridad obtenga la aprobación de la
    gerencia para implementar el SGSI.

    Las acciones para tratar riesgos y oportunidades introducen


    nuevos conceptos para un análisis sistemático de las amenazas y el
    establecimiento de acciones para abordar no solo los riesgos sino
    también las oportunidades que estas plantean, Resumiendo se
    trata de una ampliación de la perspectiva del concepto más simple
    de "acción preventiva" establecida en la norma anterior ISO 27001:
    2005.

    LA evaluación de riesgos esta y oportunidades está en sintonía


    tanto con el logro los resultados esperados como con la prevención
    o mitigación de las consecuencias no deseadas, siempre con el
    objetivo final de conseguir la mejora continua. La mejora continua
    se consigue integrando dentro del SGSI las actividades de
    evaluación y medición de la efectividad de sus acciones.

    Sistema de Gestión de Seguridad de la Información


     EVALUACIÓN DE RIESGOS DE SEGURIDAD DE LA
    INFORMACIÓN

    6.2 Apreciación de riesgos de Seguridad de la información

    Hemos determinado que la base para las acciones para abordar los
    riesgos y oportunidades es la evaluación de riesgos para la
    seguridad de la información. Este proceso debe adoptarse por las
    organizaciones dentro del núcleo del SGSI teniendo en cuenta:

     La identificación de los riesgos de seguridad de la información


     Los criterios de aceptación de riesgos
     Los criterios para realizar la evaluación de riesgos de forma que los
    resultados obtenidos sean consistentes, válidos y evaluables.
     Que se mantiene información documentada que acredite como se
    realiza el proceso y sus resultados

    ¿CÓMO SE EVALÚA EL RIESGO?


    No debemos de perder de vista que evaluar o administrar el riesgo
    no es otra cosa que proteger la misión y activos de una
    organización. Esto quiere decir que la evaluación de riesgos no es
    una cuestión meramente técnica, sino que requiere una visión de
    gestión de riesgos. Por tanto, el tema técnico está supeditado a la
    comprensión de los riesgos específicos de forma que el propietario
    del activo puede establecer las protecciones o controles adecuados
    y adaptados al valor que tiene el activo para la organización

    El riesgo nunca puede reducirse a cero


    Ninguna organización tiene recursos ilimitados por lo que
    deberemos priorizar los recursos dedicados a mitigar los riesgos
    siendo conscientes de que deberemos también priorizar y
    comprender la magnitud de cada riesgo de forma que podamos
    aplicar los controles adecuados

    También podría gustarte