Aporte discucion a controles
Páginas: 10 (2382 palabras)
Publicado: 1 de septiembre de 2010
4 Evaluación y tratamiento del riesgo
4.1 Evaluación de los riesgos de seguridad
Las evaluaciones del riesgo debieran identificar, cuantificar y priorizar los riesgos en comparación con el criterio para la aceptación del riesgo y los objetivos relevantes para la organización. Los resultados debieran guiar y determinar la acción de gestión apropiada y las prioridades para manejar los riesgosde la seguridad de la información y para implementar los controles seleccionados para protegerse contra estos riesgos. Es posible que el proceso de evaluación de riesgos y la selección de controles se deba realizar un número de veces para abarcar las diferentes partes de la organización o sistemas de información individuales.
La evaluación del riesgo debiera incluir el enfoque sistemático decalcular la magnitud de los riesgos (análisis del riesgo) y el proceso de comparar los riesgos estimados con un criterio de riesgo para determinar la importancia de los riesgos (evaluación del riesgo).
Las evaluaciones del riesgo también se debieran realizar periódicamente para tratar los cambios en sus requerimientos de seguridad y en la situación del riesgo; por ejemplo, en los activos,amenazas, vulnerabilidades, impactos, evaluación del riesgo, y cuando ocurren cambios significativos. Estas evaluaciones del riesgo se debieran realizar de una manera metódica capaz de producir resultados comparables y reproducibles.
La evaluación del riesgo de seguridad de la información debiera tener un alcance claramente definido para ser efectiva y debiera incluir las relaciones con lasevaluaciones del riesgo en otras áreas, si fuese apropiado.
El alcance de la evaluación del riesgo puede ser la organización en su conjunto, partes de la organización, un sistema de información individual, componentes específicos del sistema o servicios donde esto es practicable, realista y útil. Los ejemplos de las tecnologías de evaluación del riesgo se discuten en ISO/IEC TR 13335-3 (Lineamientos parala Gestión de la Seguridad TI: Técnicas para la Gestión de la Seguridad TI).
4.2 Tratamiento de los riesgos de seguridad
Antes de considerar el tratamiento del riesgo, la organización debiera decidir el criterio para determinar si se pueden aceptar los riesgos, o no. Los riesgos pueden ser aceptados si, por ejemplo, se ha evaluado que el riesgo es bajo o que el costo del tratamiento no esefectivo en costo para la organización. Estas decisiones debieran ser registradas.
Para cada uno de los riesgos definidos después de una evaluación del riesgo se necesita tomar una decisión de tratamiento del riesgo. Las opciones posibles para el tratamiento del riesgo incluyen:
a) aplicar los controles apropiados para reducir los riesgos;
b) aceptar los riesgos consciente y objetivamente,siempre que cumplan claramente con la política y el criterio de aceptación de la organización de la organización;
c) evitar los riesgos no permitiendo acciones que podrían causar que el riesgo ocurra;
d) transferir los riesgos asociados a otros grupos; por ejemplo, aseguradores o proveedores.
Para aquellos riesgos donde la decisión del tratamiento del riesgo ha sido aplicar los controlesapropiados, estos controles debieran ser seleccionados e implementados para satisfacer los requerimientos identificados por la evaluación del riesgo. Los controles debieran asegurar que se reduzcan los riesgos a un nivel aceptable tomando en cuenta:
a) los requerimientos y restricciones de la legislación y las regulaciones nacionales e internacionales:
b) objetivos organizacionales;
c) requerimientosy restricciones operacionales;
d) costo de implementación y operación en relación a los riesgos que se están reduciendo, y manteniéndolo proporcional a los requerimientos y restricciones de la organización;
e) la necesidad de equilibrar la inversión en implementación y operación de los controles con el daño probable resultado de fallas en la seguridad.
Los controles se pueden seleccionar a...
4.1 Evaluación de los riesgos de seguridad
Las evaluaciones del riesgo debieran identificar, cuantificar y priorizar los riesgos en comparación con el criterio para la aceptación del riesgo y los objetivos relevantes para la organización. Los resultados debieran guiar y determinar la acción de gestión apropiada y las prioridades para manejar los riesgosde la seguridad de la información y para implementar los controles seleccionados para protegerse contra estos riesgos. Es posible que el proceso de evaluación de riesgos y la selección de controles se deba realizar un número de veces para abarcar las diferentes partes de la organización o sistemas de información individuales.
La evaluación del riesgo debiera incluir el enfoque sistemático decalcular la magnitud de los riesgos (análisis del riesgo) y el proceso de comparar los riesgos estimados con un criterio de riesgo para determinar la importancia de los riesgos (evaluación del riesgo).
Las evaluaciones del riesgo también se debieran realizar periódicamente para tratar los cambios en sus requerimientos de seguridad y en la situación del riesgo; por ejemplo, en los activos,amenazas, vulnerabilidades, impactos, evaluación del riesgo, y cuando ocurren cambios significativos. Estas evaluaciones del riesgo se debieran realizar de una manera metódica capaz de producir resultados comparables y reproducibles.
La evaluación del riesgo de seguridad de la información debiera tener un alcance claramente definido para ser efectiva y debiera incluir las relaciones con lasevaluaciones del riesgo en otras áreas, si fuese apropiado.
El alcance de la evaluación del riesgo puede ser la organización en su conjunto, partes de la organización, un sistema de información individual, componentes específicos del sistema o servicios donde esto es practicable, realista y útil. Los ejemplos de las tecnologías de evaluación del riesgo se discuten en ISO/IEC TR 13335-3 (Lineamientos parala Gestión de la Seguridad TI: Técnicas para la Gestión de la Seguridad TI).
4.2 Tratamiento de los riesgos de seguridad
Antes de considerar el tratamiento del riesgo, la organización debiera decidir el criterio para determinar si se pueden aceptar los riesgos, o no. Los riesgos pueden ser aceptados si, por ejemplo, se ha evaluado que el riesgo es bajo o que el costo del tratamiento no esefectivo en costo para la organización. Estas decisiones debieran ser registradas.
Para cada uno de los riesgos definidos después de una evaluación del riesgo se necesita tomar una decisión de tratamiento del riesgo. Las opciones posibles para el tratamiento del riesgo incluyen:
a) aplicar los controles apropiados para reducir los riesgos;
b) aceptar los riesgos consciente y objetivamente,siempre que cumplan claramente con la política y el criterio de aceptación de la organización de la organización;
c) evitar los riesgos no permitiendo acciones que podrían causar que el riesgo ocurra;
d) transferir los riesgos asociados a otros grupos; por ejemplo, aseguradores o proveedores.
Para aquellos riesgos donde la decisión del tratamiento del riesgo ha sido aplicar los controlesapropiados, estos controles debieran ser seleccionados e implementados para satisfacer los requerimientos identificados por la evaluación del riesgo. Los controles debieran asegurar que se reduzcan los riesgos a un nivel aceptable tomando en cuenta:
a) los requerimientos y restricciones de la legislación y las regulaciones nacionales e internacionales:
b) objetivos organizacionales;
c) requerimientosy restricciones operacionales;
d) costo de implementación y operación en relación a los riesgos que se están reduciendo, y manteniéndolo proporcional a los requerimientos y restricciones de la organización;
e) la necesidad de equilibrar la inversión en implementación y operación de los controles con el daño probable resultado de fallas en la seguridad.
Los controles se pueden seleccionar a...
Leer documento completo
Regístrate para leer el documento completo.