Proceso de Gestión del Riesgo Basado en ISO-IEC 27005.
El proceso de gestión del riesgo en la seguridad de la información consta de:
- Establecimiento del contexto.
- Evaluación del riesgo.
- Tratamiento del riesgo.
- Aceptación del riesgo.
- Comunicación del riesgo.
- Monitoreo y revisión del riesgo.
Primero se establece el contexto, luego se realiza una valoración del riesgo, si ésta suministra la información suficiente para determinar de manera eficaz las acciones que se necesitan para mitigar los riesgos y lograr llevarlos a un nivel aceptable, entonces la labor está terminada y se continúa con el tratamiento del riesgo. Si la información no es suficiente, se llevará a cabo otra iteración de la valoración del riesgo con un contexto revisado por ejemplo, los criterios de evaluación del riesgo, los criterios para aceptar el riesgo o los criterios de impacto, posiblemente en partes limitadas del alcance total.
¿Riesgo = Incertidumbre?
Es la potencialidad que una amenaza explote las vulnerabilidades de los A.I., se convierta en un desastre y afecten los objetivos de la Organización (económicas, ambientales, imagen, reputación, sociales).
Puede ser positivo o negativo.
Gestión del Riesgo: Es una práctica metodológica y sistemática que se ejecuta para identificar, medir, clasificar y definir las procedimientos, políticas y acciones.
Ciclo de la Gestión de Riesgos.
Establecimiento del Contexto.
La Organización articula sus objetivos y define componentes externos e internos a considerar para establecer el alcance y los criterios de desempeño del riesgo.
