Gestión de Riesgos SGSI.
Esta norma suministra soporte a los conceptos que se especifican en la ISO/IEC 27001:2022, la cual facilita la implementación satisfactoria de la seguridad de la información con base en el enfoque de gestión del riesgo.
Esta norma se puede aplicar a todo tipo de Organizaciones que determinen gestionar los riesgos de la seguridad de la información.
Oportunidades: El propósito es gestionar/explotar las oportunidades de negocio y se enfoca en la inversión. De naturaleza ofensiva.
Impacto: Éxito de una vulnerabilidad por una amenaza en un activo al cual se le debe asignar un valor monetario estimado por rangos (por ej.: Entre US$ 1 y US$ 10 millones) se evalúa la probabilidad de ocurrencia del evento, por ej.: El virus es diario, semanal, etc. Clasificarlos en alto, medio o bajo. De naturaleza ofensiva.
Características y Principios de la Gestión de Riesgos SGSI.
Buscando eficiencia y eficacia de los procesos, un Sistema de gestión de riesgos cuenta con estas características y principios:
- Crea y protege el valor, pues contribuye al logro de los objetivos.
- La gestión del riesgo es parte integral de todos los procesos.
- Su salidas son fundamentales en la toma de decisiones.
- Se ocupa de la incertidumbre.
- Es sistemática, estructurada y oportuna.
- Se basa en la mejor información disponible.
- Es específica.
- Toma en cuenta los factores humanos y culturales de la Organización.
- Es transparente e inclusiva pues se ubica en todos los procesos.
- Es dinámica, iterativa y orientada al cambio.
- Facilita la mejora continua.