EVALUACIÓN DE LOS RIESGOS DE SEGURIDAD
La evaluación de riesgos debería identificar, cuantificar y priorizar los riesgos frente a los criterios para la aceptación del riesgo y los objetivos pertinentes para la organización.
Es recomendable que la evaluación de riesgos incluya el enfoque sistemático para estimar la magnitud de los riesgos ( análisis del riesgo) y el proceso de comparación de los riesgos estimados frente a los criterios de riesgo para determinar la importancia de los riesgos ( valoración del riesgo)
TRATAMIENTO DE LOS RIESGOS DE SEGURIDAD
Antes de considerar el tratamiento de un riesgo, la organización debería decidir los criterios para determinar si se pueden aceptar o no los riegos.
Las opciones posibles para el tratamiento del riesgo incluyen:
A) aplicación de los controles apropiados para reducir los riesgos.
B) aceptación objetiva y con conocimiento de los riesgos, siempre y cuando ellos satisfagan la política de la organización y sus criterios para la aceptación del riesgo.
C) evitación de los riesgos al no permitir acciones que pudieran hacer que estos se presentaran.
D) transferencia de riesgos asociados a otras partes, por ejemplo aseguradores o proveedores.
Se debe recordar que ningún conjunto de controles puede lograr la seguridad completa y que se deberían implementar acciones adicionales de gestión para monitoriar, valorar y mejorar la eficiencia y la eficacia de los controles de seguridad para apoyar las metas de la organización
POLÍTICA DE SEGURIDAD
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
su objetivo, brindar apoyo y orientación a la dirección con respecto a la seguridad de la información, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.
documento de la política de seguridad de la información
La direccion deberia aprobar un documento de politica de seguridad de la informacion y lo deberia publicar y comunicar a todos los empleados y partes externas pertinentes
El documento de la política debería contener declaraciones relacionadas con:
A) definición de la seguridad de la información, sus objetivos generales y el alcance e importancia de la seguridad como mecanismo que permite compartir la información.
B) declaración de la intención de la dirección, que apoye las metas y los principios de seguridad de la información, de acuerdo con la estrategia y los objetivos del negocio.
C) estructura para establecer los objetivos de control y los controles, incluyendo la estructura de la evaluación de riesgos y de la gestión del riesgo.
D) explicación breve sobre las normas, las políticas y los principios de seguridad, así como de los requisitos de cumplimiento de importancia particular para la organización.
REVISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
La política de seguridad de la información se debería revisar a intervalos planificados o cuando se producen cambios significativos, para garantizar que sigue siendo adecuada, suficiente y eficaz
ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
ORGANIZACIÓN INTERNA
Su objetivo, gestionar la seguridad de la información dentro de la organización.
se debería establecer una estructura de gestión para iniciar y controlar la implementacion de la seguridad en toda la organización
COMPROMISO DE LA DIRECCIÓN CON LA SEGURIDAD DE LA INFORMACIÓN
La direccion deberia apoyar activamente la seguridad dentro de la organizacion con un rumbo claro, un compromiso demostrando, una asignacion explicita y el conocimiento de las responsabilidades de la seguridad de la informacion
COORDINACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Las actividades de la seguridad de la informacion deberian ser coordinadas por los precentes de todas la partes de la organizacion con roles y funciones laborales pertinentes.
