1. Gestión de los Riesgos
Sistema de Gestión de Seguridad de
la Información ISO 27001

2. Gestión de los Riesgos
• Un Sistema de Gestión de Seguridad de la
Información según la ISO27001 genera una garantía
con la que sabemos que poder realizar una adecuada
gestión de la seguridad de la información en la
organización.
• Para ello, se debe realizar un tratamiento según los
diferentes niveles de riesgos cosechados como
consecuencia de considerar los distintos efectos que
se pueden producir sobre la información de la
organización.

3. Un Sistema de Gestión de Seguridad de la Información
se encuentra basado en la norma ISO-27001. Este
estándar internacional presenta un sistema de
gestión basado en el ciclo de Deming: Planificar,
Hacer, Verificar y Actuar, cuyas siglas en inglés son
PDCA. El ciclo Deming o ciclo PDCA, supone la
implementación de un Sistema de Gestión que se
centra en la mejora continua.

4. PLANIFICAR
Definir la política de
seguridad
Establecer al alcance del
SGSI
Realizar el análisis de
riesgo
Seleccionar los controles
Definir competencias
Establecer un mapa de
procesos
Definir autoridades y
responsabilidades
HACER
Implantar el plan de
gestión de riesgos
Implantar el SGSI
Implantar los controles
CONTROLAR
Revisar internamente el
SGSI
Realizar auditorías internas
del SGSI
Poner en marcha
indicadores y métricas
Hacer una revisión por
parte de la Dirección
ACTUAR
Adoptar acciones
correctivas
Adoptar acciones de
mejora

5. En base a este sistema PDCA, la norma ISO 27001 establece las
siguientes fases para elaborar un SGSI
1. Análisis y evaluación de riesgos.
2. Implementación de controles
3. Definición de un plan de tratamiento de los riesgos
o esquema de mejora
4. Alcance de la gestión
5. Contexto de organización
6. Partes interesadas
7. Fijación y medición de objetivos
8. Proceso documental
9. Auditorías internas y externas
El propósito de un Sistema de Gestión de la Seguridad de la
Información es, por lo tanto, garantizar que los riesgos de la
seguridad de la información sean conocidos, asumidos,
gestionados y minimizados por la organización de una forma
documentada, sistemática y estructurada

6. Gestión de los Riesgos
• ISO 27001 establece un Sistema de Gestión de
Seguridad de la Información, cuyo elemento más
importante es la Gestión de los Riesgos

7. Términos y definiciones
3.1 riesgo
Efecto de la incertidumbre sobre los objetivos
ISO 9000 2015
• Nota 1 a la entrada: Un efecto es una desviación respecto a lo
previsto. Puede ser positivo, negativo o ambos, y puede
abordar, crear o resultar en oportunidades y amenazas.
• Nota 2 a la entrada: Los objetivos pueden tener diferentes
aspectos y categorías, y se pueden aplicar a diferentes niveles.
• Nota 3 a la entrada: Con frecuencia, el riesgo se expresa en
términos de fuentes de riesgo (3.4), eventos (3.5) potenciales,
sus consecuencias (3.6) y sus probabilidades (3.7).
Gestión de los Riesgos

8. Gestión de los Riesgos
“Efecto de la incertidumbre”
es el estado, incluso parcial,
de deficiencia de información
relacionada con la comprensión
o conocimiento de un evento,
su consecuencia o su probabilidad
DESVIACION
DE LO ESPERADO
Término común y definición esencial para las normas de sistemas de gestión que se proporcionan en Anexo SL de Directivas
ISO/IEC
3.1 Riesgo

9. Gestión de los Riesgos
Términos y definiciones
Confidencialidad: Propiedad por la cual la información no esté
disponible ni sea divulgada a individuos, organismos o
procesos no autorizados.
ISO 27000:2014, cláusula 2.12
Integridad: Propiedad de proteger la precisión y la totalidad de
los activos.
ISO 27000:2014, cláusula 2.40
Disponibilidad: Propiedad de estar accesible y ser utilizable a
demanda por parte de un organismo autorizado
ISO 27000:2014, cláusula 2.9

10. Gestión de los Riesgos
Términos y definiciones
Seguridad de la información
Preservación de la confidencialidad, integridad y
disponibilidad de la información.
ISO 27000:2014
Activo
Aquello que tenga valor para la organización

11. Gestión de los Riesgos
Términos y definiciones
Amenaza: causa potencial de un incidente no deseado,
que puede dar lugar a daños en un sistema o en una
organización
Vulnerabilidad: debilidad de un activo o control que
puede ser explotada por una o más amenazas
Degradación: cuán perjudicado resultaría el activo. La
degradación mide el daño causado por un incidente
en el supuesto de que ocurriera.
Frecuencia: cada cuánto se materializa
la amenaza

12. Gestión de los Riesgos
Términos y definiciones
Análisis de Riesgos: proceso sistemático para estimar
la magnitud de los riesgos a que está expuesta una
Organización
Tratamiento de riesgo: proceso de selección e
implementación de medidas (controles) para
modificar un riesgo
Control: medio de gestionar el riesgo, incluyendo
políticas, procedimientos, guías, prácticas o
estructuras organizativas, que pueden ser de
naturaleza administrativa, técnica, de gestión, o
legal.

13. Gestión de los Riesgos
• Debemos partir de la base de que los sistemas de
gestión definen el riesgo como el efecto que genera
la incertidumbre, puede ser positivo o negativo,
debido a la falta de información de la situación,
proceso o procedimiento.
• De esta manera, la gestión del riesgo viene a apoyar
las decisiones estratégicas que buscan prevenir las
situaciones adversas futuras para transformarlas y
aprovecharlas de manera eficiente para la mejora
continua.

14. Gestión de los Riesgos
• Gestión de los Riesgos significa que, en primer lugar
es necesario identificar los riesgos que afectan a la
Organización, y en segundo lugar, es necesario
establecer medidas de seguridad para reducir estos
riesgos.
• Por tanto dentro de la Gestión de riesgos podemos
diferenciar principalmente 2 etapas: Análisis y
Tratamiento

15. Gestión de los Riesgos
• Para desarrollar todo el proceso de análisis y
tratamiento de los riesgos, hay que establecer
una Metodología, la cual definirá los pasos
que se tienen que seguir para llevar a cabo la
Gestión de Riesgos.

16. Gestión de los Riesgos
Metodologías existentes
• ISO/IEC 27005:2018 forma parte de una docena de
estándares de la serie ISO/IEC 27000
• Es una Norma ISO que no especifica ningún método
de análisis de riesgo concreto, contiene
recomendaciones y directrices generales para la
gestión de riesgos, por tanto, puede utilizarse como
guía para elaborar una Metodología de gestión de
riesgos propia.

17. Gestión de los Riesgos
• ISO/IEC 27005:2018 nos presenta el porqué, el qué y
el cómo para que las empresas sean capaces de
gestionar sus riesgos sobre seguridad de la
información de forma efectiva según los requisitos
de ISO/IEC 27001.
• Ayuda a demostrar a los clientes, accionistas o
partes interesadas de una empresa el cumplimiento
de las exigencias de los procesos sobre gestión de
riesgos que tienen lugar. Dándoles así confianza y
probando que son la empresa con la que deberían
trabajar.

18. Gestión de los Riesgos
Metodologías existentes
ISO 31000 Al igual que la anterior, es una Norma ISO
que contiene una serie de buenas prácticas para
gestionar riesgos, aunque la diferencia con respecto
la ISO 27005, es que esta no aplica solamente a la
Seguridad de la Información, sino que aplica a
cualquier tipo de riesgo, es mas general.

19. Gestión de los Riesgos
Metodologías existentes
• CRAMM Tuvo su origen en Reino Unido, ya que fue
desarrollada por el CCTA (Central Computer and
Telecommunications Agency).
• Tiene reconocimiento a nivel Internacional, y su
desarrollo es de los más simples:
1. Identificación y valoración de activos,
2. valoración de amenazas y vulnerabilidades y
3. selección de contramedidas.

20. Gestión de los Riesgos
Metodologías existentes
OCTAVE
• Fue desarrollada por el SEI (Software Engineering
Institute) en Estados Unidos, y también tiene un gran
reconocimiento internacional.
• Tiene una buena aceptación a nivel mundial, aunque
las fases que la componen son un poco diferentes de
las metodologías habituales, lo cual suele implicar
mayor dificultad a la hora de utilizarla.

21. Gestión de los Riesgos
Metodologías existentes
MAGERIT
• Se utiliza mucho en España, sobre todo en
Administraciones Públicas, ya que fue desarrollada
por el Consejo Superior de Administración
Electrónica.
• Esta metodología no es muy conocida a nivel
Internacional, aunque su utilización puede ser
interesante en cualquier tipo de empresa

22. Gestión de los Riesgos
Metodologías existentes
NIST 800-30
• Fue desarrollada por el NIST (National Institute of
Standards and Technology) en EEUU, y aunque tiene
reconocimiento Internacional, su uso se limita sobre
todo a EEUU (Administraciones Públicas).
• Aunque se compone de un mayor número de fases
que las anteriores metodologías, es muy intuitiva,
sencilla de utilizar

23. Gestión de los Riesgos
1. Identificación de activos
Elaborar un listado de inventarios en activo
• Como base, se deben identificar los elementos
indispensables para el funcionamiento y la
realización del producto al que se dedica la
organización.
• De esta manera, se aporta una imagen definitiva y
documentada que va a servir de soporte para
muchos procesos del sistema de gestión y la toma de
decisiones estratégicas, pero además se asientan los
cimientos de la gestión de los diferentes riesgos a los
que se enfrenta o puede enfrentarse la organización.

24. Gestión de los Riesgos
1. Identificación de activos
Existen básicamente dos tipos de activos:
1. Activos primarios:
- Procesos y actividades del negocio
- Información
2. Activos de soporte e infraestructura (sobre los cuales los
elementos primarios del alcance se apoyan):
- Hardware / Software
- Redes
- Recursos Humanos
- Instalaciones físicas
- Estructura de la organización

25. • 1. Identificación de activos
Cuando se realiza la identificación y las dependencias entre los
diferentes activos, se tiene que partir del estudio del
funcionamiento de los servicios que responden a preguntas
como:
¿Qué información es necesaria para prestar el servicio? O ¿Dónde
se almacena dicha información?
Se elabora un inventario de activo que deberá incluir una serie de
datos básicos :
Nombre
Descripción
Categoría
Ubicación física en la que se encuentra
Dependencias con otros activos
Valor del activo en relación con la confidencialidad, disponibilidad
e integridad, por lo que se establecen valores para cada uno de
los activos a partir de diferentes criterios que se encuentran
normalizados y son objetivos.

26. Gestión de los Riesgos
1. Identificación de activos
Podemos considerar como activos: Impresoras, dispositivos de
almacenamiento (discos duros externos, pendrives),
aplicaciones, notebooks,tablets servidores, personas, etc.)
Todos estos elementos tienen información:
• Impresora: Hojas que se imprimen
• Pendrives: Información digital
• Aplicaciones: Información digital
• Servidores: Información digital
• Empleados: Conocimiento, e información de la Organización

27. Gestión de los Riesgos
1. Identificación de activos
No obstante también podemos identificar como activo
elementos que no contienen información, pero que
son imprescindibles para otros activos que sí la
tienen, pero su funcionamiento implica que los, que
sí contienen información, puedan funcionar.
También es importante identificar la dependencia que
puede existir entre activos: Una aplicación funciona
en un servidor, por lo tanto, si el servidor deja de
funcionar, la aplicación también lo hará.

28. Gestión de los Riesgos
2. Identificación de amenazas y vulnerabilidades
Todos los activos de la Organización están expuestos a
amenazas, y estas son explotadas por vulnerabilidades.
¿Qué es una amenaza? Cualquier problema que pueda afectar al
negocio: Ingeniería, social, catástrofe natural, troyanos, virus,
etc.
¿Qué es una vulnerabilidad? Situación que provoca que una
amenaza pueda producirse.
Por ejemplo, una Organización existe poca concienciación en
seguridad de la información, esto (la vulnerabilidad)
ocasionará que exista más probabilidad de que alguno de sus
empleados se descargue un correo electrónico con un
troyano o un virus (amenaza).

29. Gestión de los Riesgos
2. Identificación de amenazas y vulnerabilidades
Lo recomendable suele ser identificar amenazas
/vulnerabilidades por tipo de activo, ya que todos los
activos que estén bajo una misma categoría podrán
compartir amenazas/vulnerabilidades.
No obstante hay que hacer un análisis por cada activo y
comprobar si las amenazas/vulnerabilidades que le
corresponden por su categoría son adecuadas.
Casi todas las metodologías de gestión de riesgos, o al
menos las más importantes, incluyen un catalogo de
amenazas de donde se pueden seleccionar las que
apliquen a cada activo.

30. Gestión de los Riesgos
2. Identificación de amenazas y vulnerabilidades
Ejemplo de amenazas
• Acceso no autorizado
• Usuarios desleales
• Espionaje industrial
• Acciones de Hackers
• Fraude
• Fuego
• Robo de documentos confidenciales
• Robo de notebooks/ otros equipos

31. Gestión de los Riesgos
2. Identificación de amenazas y vulnerabilidades
• Contando con dicho catálogo y relacionándolo con la
lista de activos, será el momento de valorar la
vulnerabilidad de cada uno de los diferentes activos
teniendo en cuenta con la degradación a la que están
expuestos y su probabilidad frente a las amenazas.

32. Gestión de los Riesgos
2. Identificación de amenazas y vulnerabilidades
• Son vulnerabilidades todas las ausencias o ineficacias
de los controles (salvaguardas) pertinentes para
salvaguardar el valor propio o acumulado sobre un
activo. A veces se emplea el término “insuficiencia”
para resaltar el hecho de que la eficacia medida del
control (salvaguarda) es insuficiente para preservar
el valor del activo expuesto a una amenaza.
• La materialización de la amenaza a través de la
explotación de una vulnerabilidad degrada el valor
del activo y puede afectar a su confidencialidad,
integridad o disponibilidad.

33. Gestión de los Riesgos
3. Cálculo del nivel de riesgo
• El cálculo del nivel de riesgo se realiza de manera distinta
dependiendo de la metodología que se considere, ya que
cada una utiliza una fórmula de cálculo distinta .No obstante
aquí veremos una fórmula sencilla y rápida de entender,
basada en 2 parámetros fundamentales en gestión de
riesgos:
• Probabilidad de que una amenaza se materialice.
• Impacto en la Organización resultante de la materialización de
una amenaza.
Tanto el Impacto como la Probabilidad se pueden medir en
valores porcentuales, lo cual nos resultará más sencillo a la
hora de calcular el nivel de riesgo.

34. Gestión de los Riesgos
3. Cálculo del nivel de riesgo
• Impacto: Por ejemplo 0% si la amenaza no produce ningún
daño, 50% si el daño es considerable y 100% si el daño es muy
crítico para la Organización.
• Probabilidad: Por ejemplo 0% si la probabilidad de que la
amenaza se materialice es muy baja, 50% si la probabilidad es
considerable y 100% si la probabilidad es muy alta.
obtendremos un valor numérico para el riesgo, el cual
representará :
Probabilidad de que una amenaza se materialice e
impacto en la Organización, en caso de que se materialice.

35. Gestión de los Riesgos
3. Cálculo del nivel de riesgo
El SGSI se basa en tres propiedades básicas de la información:
• Confidencialidad: es la garantía de acceso a la
información de los usuarios que se encuentran
autorizados para tal fin.
• Integridad: es la preservación de la información
completa y exacta.
• Disponibilidad: es la garantía de que el usuario
accede a la información que necesita en ese preciso
momento.
El Sistema de Gestión de Seguridad de la Información tiene que
tener en cuenta preservar estas tres propiedades
básicas de la información

36. Gestión de los Riesgos
3. Cálculo del nivel de riesgo
• El Sistema de Gestión de Seguridad de la Información
tiene que tener en cuenta preservar estas tres
propiedades básicas de la información en el proceso
de evaluación de riesgos.
• El proceso para la evaluación de riesgos ya no está
enfocado entonces, solo en los activos, las
vulnerabilidades y las amenazas.
• La metodología se debe enfocar en el objetivo de
identificar ,además ,los riesgos asociados con la
pérdida de la confidencialidad, integridad y
disponibilidad de la información.

37. Gestión de los Riesgos
3. Cálculo del nivel de riesgo
El siguiente paso será determinar si este nivel de riesgo es
aceptable para la Organización, es decir, si el nivel de riesgo
detectado está por encima o no del nivel de riesgo aceptable.
Nivel de riesgo aceptable: Es el nivel de riesgo que establece la
Organización como permitido, es decir, si el nivel de riesgo
aceptable por ejemplo es medio, únicamente supondrá un
peligro para la Organización aquellos riesgos que estén por
encima: Alto.
Por lo tanto, si el nivel de riesgo está por encima del aceptable,
tendremos que hacer un tratamiento del riesgo con el objetivo
de reducirlo a un nivel aceptable.

38. Gestión de los Riesgos
3. Cálculo del nivel de riesgo
Es interesante destacar que el impacto se estudia sin
tener en cuenta todas las medidas de seguridad que
se realizan en ese momento, ya que si las incluimos
disminuiremos el riesgo máximo de cada activo y
pueden provocar que los riesgos existentes no se
consideren como tal.

39. Gestión de los Riesgos
• La análisis de riesgos y evaluación de riesgos, es
probablemente la parte más complicada de la
implementación de la norma ISO 27001
• Pero al mismo tiempo, el análisis , evaluación y
tratamiento de riesgos según ISO 27001, son las
etapas más importante al inicio del proyecto de
seguridad de la información.

40. Gestión de los Riesgos
• La filosofía principal de ISO 27001 es identificar los
incidentes que podrían ocurrir ,analizar los riesgos .
También es necesario evaluar los riesgos,
determinando la importancia y el impacto de cada
uno de ellos, de forma que se pueda definir cuáles
son tolerables, cuáles son más importantes y cuáles
pueden ser eliminados y encontrar las formas
apropiadas para evitar tales incidentes.
• Aunque la identificación ,evaluación , análisis y el
tratamiento de riesgos unidas a estas acciones
conforman la gestión , son labores complejas, a
menudo es cuestión de apelar a la lógica y establecer
prioridades.

41. Gestión de los Riesgos

42. Gestión de los Riesgos
• Existen 4 opciones de mitigación de riesgos según
ISO 27001
• No todos los riesgos se generan de la misma forma
y no todos tienen el mismo impacto. El objetivo del
la análisis y evaluación de riesgos es determinar la
importancia y el impacto del riesgo y de esta forma,
optar por una de las siguientes formas de mitigar.
1. Reducir el riesgo
2. Compartir o transferir el riesgo
3. Eliminar el riesgo
4. Aceptar el riesgo

43. Gestión de los Riesgos
4. Establecimiento de controles
Reducir el riesgo
• Para aquellos riesgos que superen el nivel aceptable
tendremos que aplicar controles, según el Anexo A, ISO
27001 para reducir el riesgo.
• El Anexo A de la ISO 27001:2013 o la ISO27002 es un catalogo
de controles (salvaguardas) o medidas a aplicar para tratar el
riesgo, especifica hay 114 controles en 14 grupos.
• Es la opción más utilizada, e incluye la implementación de
medidas de seguridad como cámaras de vigilancia, censores
de movimiento, de fuego, de humo, y por supuesto,
instalación de firewall.

44. Gestión de los Riesgos
A cada punto de control se le debe asociar un rango o factor
determinado. Por ejemplo, el acceso a un área segura podría
dividirse en:
Rango 1. No hay establecida ninguna medida de seguridad.
Rango 2. Existe alguna medida de seguridad pero no se ha
establecido una pauta concreta ni periodicidad.
Rango 3. Existen una serie de medidas establecidas, pero no se
ha determinado una evaluación de las mismas.
Rango 4. Los controles tienen establecidos una periodicidad,
evaluación y seguimiento.
Rango 5. Son actividades ligadas al propio negocio, es decir, se
trata de un factor interno de la empresa que lo gestiona y
está implementada dentro de la propia organización.

45. Gestión de los Riesgos
La empresa debe decidir qué tipo de rango necesita
para cada control con el fin de asegurar la seguridad
de la información, teniendo en cuenta que los
controles de carácter preventivo son más eficaces
que los correctivos.
Por ejemplo, es más seguro instalar un dispositivo que
controle la temperatura (saltará la alarma antes de
que se produzca un posible incendio) que tener un
sistema anti incendio que avisa cuando ya hay humo
(la situación peligrosa ya ha empezado a producirse).

46. Gestión de los Riesgos
Todos estos controles siguen un ciclo de mejora
continua vinculado al plan de tratamiento de riesgos
y asociados a la evaluación de los mismos para el
cálculo del riesgo residual.
Mediante el proceso de mejora continua es posible
comprobar la eficacia de los controles o si es
necesario cambiar de rango o factor de seguridad,
realizando las modificaciones que sean necesarias.
Los controles están incluidos en el anexo A de la norma
ISO 27001 y su nivel de detalle y especificidad los
diferencian de los existentes en otras normas, que
tienen un carácter más generalista y transversal.

47. Gestión de los Riesgos
Declaración de aplicabilidad
Consiste en un documento que relaciona los controles
que se aplican en el sistema de gestión.
De la relación de los controles que la norma ISO/IEC
27001 indica en su anexo A, una Organización debe
seleccionar aquellos que debe implantar y mantener
en su sistema.
El resultado de la elección de los controles forma parte
del Plan de Tratamiento de riesgos, de modo que
éste tiene como salida la Declaración de
Aplicabilidad.

48. Gestión de los Riesgos
4. Establecimiento de controles
Reducir el riesgo
• Para hacer esta implantación de controles de manera
ordenada, estructurada y planificada, estableceremos un Plan
de Tratamiento de Riesgos.
• El plan adjudica responsabilidades para el diseño,
implementación y puesta en práctica de los controles,
establece plazos, recursos, presupuesto y acciones de
seguimiento.
• El Plan de Tratamiento de riesgos implanta de manera
planificada los controles que se aplican a los riesgos que
superan el nivel aceptable.

49. 2 1 4 3

50. Gestión de los Riesgos
4. Establecimiento de controles
El Plan de Tratamiento de Riesgos tiene que contener una serie
de información básica:
• Responsable del control: Persona que se responsabiliza de la
correcta implantación del control
• Recursos: Personas, técnicos, empresas externas o materiales
que se utilizarán para la implantación del control
• Acciones a llevar a cabo: Acciones que serán necesarias para la
implantación del control
• Prioridad: Todos los controles no tienen la misma prioridad, ya
que por una parte el nivel de riesgo no será el mismo, ni
tampoco el valor de cada activo para la Organización. Por
tanto es necesario establecer prioridades. Esta prioridad
puede venir determinada por la fecha de implantación de
cada control.

51. Gestión de los Riesgos
Después de implantar todos los controles de seguridad,
tenemos que calcular el riesgo residual.
Riesgo residual: Es el riesgo que sigue quedando
después de implantar los controles de seguridad
Cuando implantamos los controles reducimos el
riesgo, pero este no dejará de existir, siempre
quedará un nivel, aunque sea mínimo.

52. Gestión de los Riesgos
¿Qué ocurre si el nivel de riesgo, reducido por la
implantación de los controles de seguridad, sigue
estando por encima del nivel de riesgo aceptable?
Tendremos que tomar una decisión en cuanto al
tratamiento, y deberá quedar formalmente
establecido en nuestra metodología de análisis y
tratamiento de riesgos.

53. Gestión de los Riesgos
Esta decisión se puede resumir en las siguientes 3
posibilidades:
• Aceptar el riesgo
Cuando las acciones necesarias para eliminar un riesgo,
tienen un costo demasiado alto – superior a las
consecuencias previstas de la ocurrencia del
incidente , conviene pensar en la posibilidad de
convivir con el riesgo, y minimizar su impacto. Para
estos casos, resulta ideal utilizar esta opción, en
conjunto con la de compartir el riesgo, adquiriendo
una póliza de seguros.

54. Gestión de los Riesgos
• Compartir o transferir el riesgo
El ejemplo más común, es la suscripción de una póliza
de seguros, con cobertura para el riesgo que se
desea compartir. Contratar una compañía de
seguridad, que asuma el compromiso de velar por la
integridad de la información es otra forma de
compartir el riesgo, cuando el contrato especifica
una penalidad en caso de que se presente un
incidente.
Estas son medidas que no conjuran la ocurrencia del
incidente, ya que tan solo se transfiere el riesgo
financiero a otra organización, pero pueden resultar
efectivas si se utilizan en conjunto con una o varias
de las otras opciones de mitigación

55. Gestión de los Riesgos
• Eliminar el riesgo
Se logra eliminando una actividad, un procedimiento
o un proceso que puede ser la causa del incidente, o
modificándolos de tal forma que se elimine el
riesgo.
Un ejemplo de ello es el uso de ordenadores portátiles
fuera de las instalaciones de la organización. Prohibir
esta práctica, elimina la posibilidad de ocurrencia de
muchos incidentes, generadores de riesgos de alto
impacto.

56. Gestión de los Riesgos
Conclusiones
Todos los activos de una Organización (sea grande o pequeña)
están expuestos a riesgos, los cuales si no se reducen pueden
provocar un problema importante al negocio.
Para reducir estos riesgos podemos implantar controles
utilizando una metodología de análisis de riesgos.
Una metodología de análisis de riesgos nos ayuda a identificar
activos, las amenazas/vulnerabilidades que les afectan, y
calcular el nivel de riesgo, el cual tiene que estar por debajo
de un nivel aceptable para la Organización.
Si el nivel de riesgo es superior al aceptable, la Organización
tiene que implantar controles de seguridad para reducirlo.
Existen muchas metodologías, pero todas tienen el mismo
objetivo: calcular el riesgo asociado a los activos de la
Organización y establecer medidas para reducirlo.

57. Gestión de los Riesgos
Sistema de Gestión de Seguridad de
la Información ISO 27001
FIN