La Gestión de Riesgos en un SGSI

por Alejandro Riveros
12/06/17
5/5 - (2 votos)

La implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) requiere de un conocimiento profundo de la Gestión de Riesgos. Tras haber determinado los riesgos existentes en una organización, se han de tomar las medidas adecuadas para hacerles frente.

El Risk Management es el proceso por el que se gestionan, minimizan, transfieren o eliminan los riesgos que afectan a los activos de información de la empresa. Para afrontar los riesgos se disponen de las siguientes opciones:

  • Eliminar el riesgo. Consiste en eliminar los activos a los que el riesgo está asociado. Suele ser costoso. Al tratarse de una medida drástica, se suelen buscar opciones alternativas.
  • Transferir el riesgo. Se valora la subcontratación de un servicio externo o de un seguro que cubra los gastos en el caso de que ocurra una incidencia. Hay casos en los que el valor del activo y el tipo de riesgo asociado no hacen viable la subcontratación. Cuando se opta por la contratación de un seguro, hay que asegurarse de que el valor del activo es superior al del propio seguro.
  • Asumir al riesgo. Esto implica que no se van a tomar medida de protección con respecto a ese riesgo. La decisión es tomada por la alta dirección y solamente es viable en el caso de que la organización controle el riesgo y vigile que no aumenta.
  • Mitigar e riesgo. La empresa debe implantar una serie de medida que actúen de salvaguarda para los activos. Todas las medidas implantadas han de ser documentadas y gestionadas por la empresa.

Una vez decididas las medidas a adoptar para aplicar a los riesgos identificados, se procede a la realización de un análisis. Éste tiene como resultado el riesgo residual y el nivel de riesgo aceptable por la empresa.

La norma ISO/IEC 27002 es una guía de buenas prácticas que ofrece una exhaustiva guía sobre los controles a implantar en la compañía a seguir para certificar el Sistema de Gestión de Seguridad de la Información de la empresa con la norma UNE-ISO/IEC 27001. La norma ISO/IEC 27002 tiene 39 objetivos de control y 133 controles.

Statement of Applicability (SOA) o Declaración de Aplicabilidad

Los controles deben estar recogidos en el Statement of Applicability (SOA) o Declaración de Aplicabilidad, así como sus objetivos, descripciones, razones o no de selección, aplicaciones y referencias a documentos en los que se detallan sus implantaciones. La elección de los controles está condicionada por los siguientes factores:

  • Coste del control frente al coste de impacto.
  • Necesidad de disponibilidad del control.
  • Coste de implantación y mantenimiento.

Una vez que los controles son seleccionados, se procede a su implantación.

logo EALDE Business School
Máster en Gestión de Riesgos

Fórmate con los mejores profesionales del sector

Infórmate aquí
Descarga este eBook gratis

10 pasos para elaborar un informe de Gestión de Riesgos

Entradas recientes

EALDE organiza un Forum sobre riesgos globales en 2024

EALDE Business School organiza un nuevo Forum titulado "Riesgos Globales en 2024", que será impartido por los expertos en gestión de riesgos Cibeles Jiménez y Roberto Castro. El evento de inscripción 100% gratuita tendrá lugar el próximo 21 de febrero a las 18:00...

Sobre el autor

Soy Alejandro Riveros, un publicista colombiano con una amplia trayectoria en el mundo del marketing y las relaciones públicas. Mi formación profesional comenzó en la reconocida Universidad Sergio Arboleda de Bogotá, donde me especialicé en Publicidad. Durante mi tiempo en la universidad, adquirí los conocimientos y las habilidades necesarias para enfrentar los retos del campo laboral. Actualmente, formo parte del equipo de marketing de EALDE Business School, una institución de renombre. En esta posición, tengo la oportunidad de redactar artículos para el blog, lo cual me permite compartir mis conocimientos y experiencias con otros profesionales del ámbito empresarial. Trabajar en EALDE Business School ha ampliado mi perspectiva y me ha brindado la oportunidad de participar en proyectos educativos de gran envergadura. A lo largo de mi carrera, he tenido la valiosa oportunidad de trabajar tanto en el sector público como en el privado. Inicié mi trayectoria en equipos de relaciones públicas, donde desempeñé funciones en el desarrollo y ejecución de campañas publicitarias dentro de reconocidas agencias del medio. Esta experiencia me permitió desarrollar habilidades estratégicas y creativas, y despertó mi pasión por buscar nuevas oportunidades. El espíritu emprendedor siempre ha sido una de mis mayores motivaciones, lo cual me llevó a fundar mi propia empresa dedicada al marketing de influencia y Talent Management. Esta experiencia me permitió explorar nuevas formas de conectar a las marcas con su audiencia a través de influencers y desarrollar estrategias innovadoras para el crecimiento empresarial. Además de mi experiencia en el sector empresarial, he tenido el privilegio de formar parte de importantes equipos políticos en Colombia. Comencé mi trayectoria como miembro de la Unidad de Trabajo Legislativo (UTL) del Senador Colombiano Antonio Navarro Wolff, donde contribuí en la elaboración y ejecución de proyectos legislativos de gran relevancia. Posteriormente, me uní a la UTL del Senador Juan Luis Castro Córdoba, donde pude seguir aportando al desarrollo de políticas públicas. Continuando mi trayectoria en el ámbito político, formé parte de la Unidad de Apoyo Normativo (UAN) del Concejal de Bogotá Juan Javier Baena Merlano. En esta posición, trabajé en la elaboración de propuestas normativas y proyectos de impacto para la ciudad. Estas experiencias me brindaron una visión integral del sistema político y la importancia de la comunicación efectiva en el ámbito público. En mi búsqueda constante de crecimiento y conocimiento, obtuve un Máster en Marketing Político de la Universidad de Alcalá de Henares en Madrid, España. Esta experiencia académica enriquecedora me permitió profundizar mis conocimientos y habilidades en el ámbito del marketing político, fortaleciendo mi capacidad para crear estrategias efectivas y comunicar mensajes persuasivos. Además de mi dedicación profesional, tengo pasiones que me acompañan en mi día a día. Soy un apasionado del fútbol, un deporte que me apasiona tanto ver como practicar. También tengo un profundo interés por la geografía, explorando diferentes culturas y países a través de la cartografía y los viajes. Además, el ajedrez es una de mis aficiones, que me desafía intelectualmente y me ayuda a desarrollar habilidades estratégicas.
Logo EALDE

Posts relacionados

Logo EALDE

Se el primero en comentar

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *