La Gestión de Riesgos en un SGSI

5/5 - (2 votos)

La implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) requiere de un conocimiento profundo de la Gestión de Riesgos. Tras haber determinado los riesgos existentes en una organización, se han de tomar las medidas adecuadas para hacerles frente.

El Risk Management es el proceso por el que se gestionan, minimizan, transfieren o eliminan los riesgos que afectan a los activos de información de la empresa. Para afrontar los riesgos se disponen de las siguientes opciones:

  • Eliminar el riesgo. Consiste en eliminar los activos a los que el riesgo está asociado. Suele ser costoso. Al tratarse de una medida drástica, se suelen buscar opciones alternativas.
  • Transferir el riesgo. Se valora la subcontratación de un servicio externo o de un seguro que cubra los gastos en el caso de que ocurra una incidencia. Hay casos en los que el valor del activo y el tipo de riesgo asociado no hacen viable la subcontratación. Cuando se opta por la contratación de un seguro, hay que asegurarse de que el valor del activo es superior al del propio seguro.
  • Asumir al riesgo. Esto implica que no se van a tomar medida de protección con respecto a ese riesgo. La decisión es tomada por la alta dirección y solamente es viable en el caso de que la organización controle el riesgo y vigile que no aumenta.
  • Mitigar e riesgo. La empresa debe implantar una serie de medida que actúen de salvaguarda para los activos. Todas las medidas implantadas han de ser documentadas y gestionadas por la empresa.

Una vez decididas las medidas a adoptar para aplicar a los riesgos identificados, se procede a la realización de un análisis. Éste tiene como resultado el riesgo residual y el nivel de riesgo aceptable por la empresa.

La norma ISO/IEC 27002 es una guía de buenas prácticas que ofrece una exhaustiva guía sobre los controles a implantar en la compañía a seguir para certificar el Sistema de Gestión de Seguridad de la Información de la empresa con la norma UNE-ISO/IEC 27001. La norma ISO/IEC 27002 tiene 39 objetivos de control y 133 controles.

Statement of Applicability (SOA) o Declaración de Aplicabilidad

Los controles deben estar recogidos en el Statement of Applicability (SOA) o Declaración de Aplicabilidad, así como sus objetivos, descripciones, razones o no de selección, aplicaciones y referencias a documentos en los que se detallan sus implantaciones. La elección de los controles está condicionada por los siguientes factores:

  • Coste del control frente al coste de impacto.
  • Necesidad de disponibilidad del control.
  • Coste de implantación y mantenimiento.

Una vez que los controles son seleccionados, se procede a su implantación.

logo EALDE Business School
Máster en Gestión de Riesgos

Fórmate con los mejores profesionales del sector

Infórmate aquí
Descarga este eBook gratis

10 pasos para elaborar un informe de Gestión de Riesgos

Entradas recientes

Qué es el Open Innovation y cómo impacta en el sector asegurador

En 2003 se registraron 200 búsquedas en Google sobre open innovation, año en que fue acuñado el término. Hoy en día, se computan 600 millones. El open innovation (“innovación abierta”), ha revolucionando el proceso de investigación y desarrollo como nunca antes se...

Ya se conocen los ganadores de los I Premios EALDE for Excellence

El jurado de los I Premios EALDE for Excellence ha dado a conocer los artículos premiados en la primera edición de este certamen, organizado por EALDE Business School. En total, han sido más de 100 los artículos monográficos que se han presentado en las tres...

Sobre el autor

EALDE Business School nace con vocación de aprovechar al máximo las posibilidades que Internet y las nuevas tecnologías brindan a la enseñanza. Ofrece a sus alumnos la posibilidad de cursar, desde el lugar en el que se encuentren, estudios de posgrado en materia de gestión de empresas de la misma forma que harían si los cursos se siguiesen presencialmente en una escuela tradicional.
Logo EALDE

Posts relacionados

Logo EALDE

Se el primero en comentar

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.