Como Crear y Gestionar el Proceso de Tratamiento del Riesgo.
El tratamiento del riesgo es el resultado de la evaluación del riesgo y de la declaración de aplicabilidad o “SOA”.
Después de definir los controles a implantar se deben definir las tareas a realizar para su implantación en un plan de tratamiento de riesgos.
El plan de tratamiento de riesgos puede ser simplemente un documento donde se recoge la descripción de las actividades a realizar y donde se establezca la trazabilidad entre las medidas a implantar y los riesgos que cada una de ellas pretende mitigar.
No nos olvidemos que además un plan de tratamiento de riesgos debe determinar no solo las actividades a realizar sino las acciones y los responsables de realizarlas junto con los indicadores o métodos para medir o evaluar el grado de cumplimiento de las acciones a emprender.
Es importante tener en cuenta que las métricas deben estar alineadas con los Objetivos de la organización previamente definidos.
Otro aspecto importante es la evaluación del esfuerzo necesario para obtener las medidas y registros. Para ello se recomienda ajustarse a un conjunto de métricas inicial que no suponga un esfuerzo no asumible para la organización y sea más un motivo de desánimo que una tarea asumida por la organización.
Por ejemplo, se pueden definir métricas en relación a las tres dimensiones de la seguridad consideradas:
- Confidencialidad: reducir el número de incidentes con riesgo de fuga de información.
- Disponibilidad: porcentaje de disponibilidad de determinados equipos y sistemas.
- Integridad: reducir los incidentes por información errónea.