La ISO 31000 «Gestión de Riesgos Empresariales»: Si bien todas la organizaciones gestionan el riesgo en cierta medida, la norma ISO 31000:2009 establece una serie de principios que deben ser satisfechos para hacer una gestión eficaz del riesgo. Esta Norma …
MAGERIT (se basa en el RIESGO): es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen de …
Una vulnerabilidad es toda aquella circunstancia o característica de un activo que permite la materialización de ataques que comprometen la confidencialidad, integridad o disponibilidad del mismo. Por ejemplo, un equipo será vulnerable a los virus si no tiene un programa …
Denominamos amenaza a un evento o incidente provocado por una entidad natural, humana o artificial que, aprovechando una o varias vulnerabilidades de un activo, pone en peligro la confidencialidad, la integridad o la disponibilidad de ese activo. Dicho de otro …
La preparación de un análisis de riesgo consiste en: Detectar los incidentes Analizar el incidente Métodos Reactivos Detectar el incidente: cuando realizamos la auditoría la pregunta estándar a realizar es: muéstreme los incidentes más significativos. Cuando localizamos el incidente por ejemplo fuga de …
Se llama análisis de impactoal ejercicio de pensar en las consecuencias de que haya un incidente, accidental o deliberado. O sea, responder preguntas del tipo: ¿qué pasaría si se revela un dato confidencial? ¿Qué pasaría si manipulan nuestra información? ¿Qué …
La organización deberá regularmente: Implantar en el SGSI las mejoras identificadas. Realizar las acciones preventivas y correctivas adecuadas en relación a la cláusula 8 de la norma ISO 27001 y a las lecciones aprendidas de las experiencias propias y de …
La organización deberá: Ejecutar procedimientos de monitorización y revisión para: La detección temprana de errores en los resultados generados por los procesos. La identificación temprana de brechas e incidentes de seguridad. Capacitar a la dirección para determinar si las actividades …
Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información. Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos …
Plan: Establecer el SGSI Definir el alcance del SGSI en términos del negocio, la organización, su localización, activos y tecnologías, incluyendo detalles y justificación de cualquier exclusión. Definir una política de seguridad que: Incluya el marco general y los objetivos …