6.1.2 Apreciación de Riesgos de Seguridad de la Información.
La organización debe definir y aplicar un proceso de apreciación de riesgos de seguridad de la información que:
a) Establezca y mantenga criterios sobre riesgos de seguridad de la información incluyendo:
1. Los criterios de aceptación de los riesgos.
2. Los criterios para llevar a cabo las apreciaciones de los riesgos de seguridad de la información.
b) Asegure que las sucesivas apreciaciones de los riesgos de seguridad de la información generan resultados consistentes, válidos y comparables.
c) Identifique los riesgos de seguridad de la información:
1. Llevando a cabo el proceso de apreciación de riesgos de seguridad de la información para identificar los riesgos asociados a la pérdida de confidencialidad, integridad y disponibilidad de la información en el alcance del sistema de gestión de la seguridad de la información.
2. Identificando a los dueños de los riesgos.
Propietario del riesgo: Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo.
Riesgo: Efecto de la incertidumbre en los objetivos.
Un efecto es una desviación de lo esperado; puede ser positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas.
-
- Positivo: Ganancia Potencial / Negativo: Suceso perjudicial.
Los objetivos pueden tener diferentes aspectos y categorías, y pueden aplicarse a diferentes niveles.
El riesgo se expresa generalmente en términos de fuentes de riesgo, eventos potenciales, sus consecuencias y su probabilidad.
Nivel de riesgo: Magnitud de un riesgo expresada en términos de la combinación de las consecuencias y de su probabilidad.
Los riesgos de seguridad de la información son los asociados a la pérdida de la confidencialidad, integridad y disponibilidad para la información.
- Amenaza: Causa potencial de un incidente no deseado, el cual puede ocasionar daño a un sistema o a una organización.
- Vulnerabilidad: Debilidad de un activo o control que puede ser aprovechado por una o más amenazas.
- Control: medida que modifica el riesgo.
d) Analice los riesgos de seguridad de la información:
1. Valorando las posibles consecuencias que resultarían si los riesgos identificados en el punto 6.1.2 c) 1) llegasen a materializarse.
2. Valorando de forma realista la probabilidad de ocurrencia de los riesgos identificados en el punto 6.1.2 c) 1).
3. Determinando los niveles de riesgo.
e) Evalúe los riesgos de seguridad de la información:
1. Comparando los resultados del análisis de riesgos con los criterios de riesgo establecidos en el punto 6.1.2 a).
2. Priorizando el tratamiento de los riesgos analizados.
La organización debe conservar información documentada sobre el proceso de apreciación de riesgos de seguridad de la información.