SGSI

Herramientas y técnicas

• Juicio de expertos: Descrito en el punto A.3.

• Matrices de priorización: Se utilizan criterios matemáticos para ponderar y seleccionar los elementos con mayor criticidad.

• Evitar, transferir, mitigar o aceptar: Evitar: cambiar las condiciones originales de realización del proyecto para eliminar el riesgo identificado. Transferir: Trasladar el impacto negativo del riesgo hacia un tercero. Mitigar: Disminuir la probabilidad de ocurrencia y/o el impacto. Aceptar: no cambiar el plan original.

Recomendaciones

El desarrollo de la evaluación de riesgos de seguridad en el negocio dentro del alcance SGSI es esencial para el éxito del proyecto SGSI, existen diversos enfoques para su implementación de acorde al ISO/IEC 27001:2005: Estudiar los antecedentes de los procesos críticos.

• Identificar las amenazas y sus orígenes.

• Identificar los controles planificados y existentes.

• Identificar las vulnerabilidades que pueden ser explotadas por las amenazas.

• Identificar las consecuencias como perdidas de confidencialidad, integridad y disponibilidad.

• Evaluar el impacto del negocio en base a un eventual incidente de seguridad de la información.

• Valorar la probabilidad de los escenarios de incidentes.

• Estimar el nivel de riesgos

• Comparar los niveles de riesgos con los criterios de evaluación y aceptación.

 

Salidas

• Descripción de la metodología de riesgo. 

• Resultados de la valoración de riesgos.