M E N U
X
    Normas ISO
  • 12 años ago

¿En que consiste la Evaluación de Riesgos?

Implantando la Norma ISO 27001

A la hora de implantar un Sistema de Gestión de la Seguridad de la Información (SGSI) según la norma ISO 27001, debemos considerar como eje central de este sistema la Evaluación de Riesgos. Este capítulo de la Norma, permitirá a la dirección de la empresa tener la visión necesaria para definir el alcance y ámbito de aplicación de la norma, así como las políticas y medidas a implantar, integrando este sistema en la metodología de mejora continua, común para todas las normas ISO.

Lo primero, es elegir una metodología de evaluación del riesgo apropiada para los requerimientos del negocio. Existen numerosas metodologías estandarizadas de evaluación de riesgos. Aquí explicaremos la metodología sugerida en la Norma.

Las fases de esta metodología son los siguientes:

Método de Evaluación y Tratamiento del Riesgo

 

  • 1.- Identificar los Activos de Información y sus responsables, entendiendo por activo todo aquello que tiene valor para la organización, incluyendo soportes físicos (edificios o equipamientos), intelectuales o informativas (Ideas, aplicaciones, proyectos …) así como la marca, la reputación etc.
  • 2.- Identificar las Vulnerabilidades de cada activo: aquellas debilidades propias del activo que lo hacen susceptible de sufrir ataques o daños.
  • 3.– Identificar las amenazas: Aquellas cosas que puedan suceder y dañar el activo de la información, tales como desastres naturales, incendios o ataques de virus, espionaje etc.
  • 4.- Identificar los requisitos legales y contractuales que la organización está obligada a cumplir con sus clientes, socios o proveedores.
  • 5.- Identificar los riesgos: Definir para cada activo, la probabilidad de que las amenazas o las vulnerabilidades propias del activo puedan causar un daño total o parcial al activo de la información, en relación a su disponibilidad, confidencialidad e integridad del mismo.
  • 6.- Cálculo del riesgo: Este se realiza a partir de la probabilidad de ocurrencia del riesgo y el impacto que este tiene sobre la organización (Riesgo = impacto x probabilidad de la amenaza). Con este procedimiento determinamos los riesgos que deben ser controlados con prioridad.
  • 7.- Plan de tratamiento del riesgo: En este punto estamos preparados para definir la política de tratamiento de los riesgos en función de los puntos anteriores y de la política definida por la dirección. En este punto, es donde seleccionaremos los controles adecuados para cada riesgo, los cuales irán orientados a :
    •  Asumir el riesgo
    •  Reducir el riesgo
    •  Eliminar el riesgo
    •  Transferir el riesgo

OBTENGA EL PRECIO EN MENOS DE UN MINUTO

Si desea conocer los costes asociados a la implantación de la Norma, en los siguientes enlaces puede obtener la información que necesita:

Obtenga Aquí un Presupuesto On line de la implantación de la Norma.

Presupuesto Online

Solicite Aquí Asesoría Personalizada de la implantación de la Norma.

Contáctanos
Tags: ISO 27001Seguridad de la Información
    Artículos relacionados
  1. ¿ISO 27001 es algo más que Seguridad Informática?
  2. ¿Qué nos aporta la ISO 27001?
  3. Autopresupuesto
  4. Subvenciones ISO 20000 y 27001 Aragón
  5. Subvenciones LOPD & ISO 27001 & ISO 22301
  6. Subvenciones Andalucía ISO 9001 14001 & ISO 27001
  7. NEXEA GRUPO CORREOS SE CERTIFICA EN ISO 27001
  8. Jornada Gratuita PCI DSS: Seguridad en las Transacciones Electrónicas y en la Gestión de la Información
  9. ISO / IEC 27018 2014 Requisitos para la protección de la información de identificación personal
  10. 50% Subvención Normas ISO CANTABRIA