Norma NTC-ISO 27005

Criterios

Dependiendo del alcance y los objetivos de la gestión del riesgo, se pueden aplicar diferentes enfoques. El enfoque también podría ser diferente para cada iteración. Es aconsejable seleccionar o desarrollar un enfoque adecuado para la gestión del riesgo que aborde los criterios básicos tales como: criterios de evaluación del riesgo, criterios de impacto, criterios de aceptación del riesgo. Además, la organización debería evaluar si los recursos necesarios están o no disponibles para:

Ø realizar la valoración del riesgo y establecer un plan de tratamiento para el riesgo;

Ø definir e implementar las políticas y los procedimientos, que incluyan la implementación de los controles seleccionados;

Ø monitorear los controles;

Ø monitorear los procesos de gestión del riesgo en la seguridad de la información.

Criterios de evaluación

Se recomienda desarrollar criterios para la evaluación del riesgo con el fin de determinar el riesgo en la seguridad de la información de la organización, teniendo en cuenta los siguientes aspectos:

Ø el valor estratégico del proceso de información del negocio;

Ø la criticidad de los activos de información involucrados;

Ø los requisitos legales y reglamentarios, así como las obligaciones contractuales;

Ø la importancia de la disponibilidad, confidencialidad e integridad para las operaciones y el negocio.

Ø Las expectativas y percepciones de las partes interesadas y las consecuencias negativas para el buen nombre y la reputación.

De igual modo, los criterios de evaluación del riesgo se pueden utilizar para especificar las prioridades para el tratamiento del riesgo.

Criterios de impacto

Es recomendable desarrollar criterios de impacto del riesgo y especificarlos en términos del grado de daño o de los costos para la organización, causados por un evento de seguridad de la información, considerando los siguientes aspectos:

- nivel de clasificación de los activos de información impactados;

- brechas en la seguridad de la información (por ejemplo, pérdida de confidencialidad, integridad y disponibilidad);

- operaciones deterioradas (partes internas o terceras partes);

- pérdida del negocio y del valor financiero; - alteración de planes y fechas límites;

- daños para la reputación;

- Incumplimiento de los requisitos legales, reglamentarios o contractuales.

Criterios de la aceptación

Es recomendable desarrollar y especificar criterios de aceptación del riesgo. Estos criterios dependen con frecuencia de las políticas, metas, objetivos de la organización y de las partes interesadas. La organización debería definir sus propias escalas para los niveles de aceptación del riesgo. Durante el desarrollo, se deberían considerar los siguientes aspectos:

- los criterios de aceptación del riesgo pueden incluir umbrales múltiples, con una meta de nivel de riesgo deseable, pero con disposiciones para que la alta dirección acepte los riesgos por encima de este nivel, en circunstancias definidas;

- los criterios de aceptación del riesgo se pueden expresar como la relación entre el beneficio estimado (u otros beneficios del negocio) y el riesgo estimado;

- los diferentes criterios de aceptación del riesgo se pueden aplicar a diferentes clases de riesgos, por ejemplo, los riesgos que podrían resultar en incumplimiento con reglamentos o leyes, podrían no ser aceptados, aunque se puede permitir la aceptación de riesgos altos, si esto se especifica como un requisito contractual;

- los criterios de aceptación del riesgo pueden incluir requisitos para tratamiento adicional en el futuro, por ejemplo, se puede aceptar un riesgo si existe aprobación y compromiso para ejecutar acciones que reduzcan dicho riesgo hasta un nivel aceptable en un periodo definido de tiempo

Los criterios de aceptación del riesgo pueden diferir de acuerdo con la expectativa de duración que se tenga del riesgo, por ejemplo, el riesgo puede estar asociado con una actividad temporal o de corto plazo. Los criterios de aceptación del riesgo se deberían establecer considerando los siguientes elementos:

- criterios del negocio;

- aspectos legales y reglamentarios;

- operaciones;

- tecnología;

- finanzas;

- factores sociales y humanitarios

Buscar este blog

PORTAFOLIO LUIS HOYOS IU PASCUAL BRAVO

Norma NTC-ISO 27005

Comentarios

Publicar un comentario

Entradas populares de este blog

La Ecología: orígenes y bases (Mapa conceptual)