MANTENIMIENTO DE RIESGOS DE SEGURIDAD
Antes de considerar el
tratamiento de un riesgo, la organización debería decidir los criterios para
determinar si se pueden aceptar o no los riesgos. Los riesgos se pueden aceptar
si, por ejemplo, según la evaluación se considera el riesgo bajo o que el costo
del tratamiento no es efectivo en términos financieros para la organización.
Tales decisiones se deberían registrar.
Para cada uno de los riesgos identificados después de la evaluación de riesgos es necesario tomar una decisión para su tratamiento. Las opciones posibles para el tratamiento del riesgo incluyen:
· Aplicación de los controles apropiados para reducir los riesgos
· Aceptación objetiva y con conocimiento de los riesgos, siempre y cuando ellos satisfagan la política de la organización y sus criterios para la aceptación del riesgo.
· Evitación de los riesgos al no permitir acciones que pudieran hacer que estos se presentaran
· Transferencia de riesgos asociados a otras partes, por ejemplo asegurados o proveedores.
Para aquellos riesgos en donde la decisión de tratamiento del riesgos ha sido la aplicación de controles apropiados, dichos controles se deberían seleccionar e implementar de modo que satisfagan los requisitos identificados por la evaluación de riesgos. Los controles deberían garantizar la reducción de los riesgos hasta un nivel aceptable teniendo en cuenta los siguientes elementos:
· Requisitos y restricciones de la regulación nacionales e internacionales;
· Objetivos de la organización;
· Costo de la implementación y la operación con relación a los riesgos que se reducen, y que permanezcan proporcional a los requisitos y restricciones de la organización;
· Necesidad de equilibrar la inversión en la implementación y operación de los controles frente a la probabilidad del que resultara debido a las fallas de seguridad.
Para cada uno de los riesgos identificados después de la evaluación de riesgos es necesario tomar una decisión para su tratamiento. Las opciones posibles para el tratamiento del riesgo incluyen:
· Aplicación de los controles apropiados para reducir los riesgos
· Aceptación objetiva y con conocimiento de los riesgos, siempre y cuando ellos satisfagan la política de la organización y sus criterios para la aceptación del riesgo.
· Evitación de los riesgos al no permitir acciones que pudieran hacer que estos se presentaran
· Transferencia de riesgos asociados a otras partes, por ejemplo asegurados o proveedores.
Para aquellos riesgos en donde la decisión de tratamiento del riesgos ha sido la aplicación de controles apropiados, dichos controles se deberían seleccionar e implementar de modo que satisfagan los requisitos identificados por la evaluación de riesgos. Los controles deberían garantizar la reducción de los riesgos hasta un nivel aceptable teniendo en cuenta los siguientes elementos:
· Requisitos y restricciones de la regulación nacionales e internacionales;
· Objetivos de la organización;
· Costo de la implementación y la operación con relación a los riesgos que se reducen, y que permanezcan proporcional a los requisitos y restricciones de la organización;
· Necesidad de equilibrar la inversión en la implementación y operación de los controles frente a la probabilidad del que resultara debido a las fallas de seguridad.
En una empresa hay pasivos y activos y se configuran
PUNTO DE PARTIDA DE LA INFORMACIÓN
punto de partida para
la implementación de la seguridad de la información.
Protección
de datos y privacidad de la información personal.
Protección
de los riesgos de la información.
Documentos de la política de la seguridad de
la información.
Procesamiento
correcto en las aplicaciones.
Gestión
de la vulnerabilidad técnica.
