Documente Academic
Documente Profesional
Documente Cultură
ESTIMACIÓN,
EVALUACIÓN Y TRATAMIENTO
DEL
RIESGO
• La gestión del riesgo es la piedra angular de
esta norma. En
la definición de la política del SGSI ya se
indica que deberá
estar alineada con el contexto de la estrategia
de gestión de
riesgos de la organización, contexto en el que
tendrá lugar la
creación y el mantenimiento del SGSI
(4.2.1.b.3).
• La seguridad total no existe. Lograrla resulta
imposible, tanto
por su coste económico como por la
imposibilidad de
conocer y evitar en tiempo real todas las
posibles amenazas
existentes. Desde esta perspectiva, resulta
imprescindible la
definición de los niveles u objetivos de
seguridad que es
necesario o conveniente alcanzar. O bien,
mirándolo desde
su perspectiva opuesta, en qué niveles de
riesgo puede
moverse la organización sin que se vea
comprometida la
continuidad de su actividad en el tiempo.
SELECCIÓN DE LOS
OBJETIVOS DE
CONTROL Y CONTROLES.
• En esta fase de la creación del SGSI se
plasma la decisión
de la organización sobre los objetivos de
control y
controles que va a aplicar para lograr el
cumplimiento de
los requisitos de seguridad u objetivos
identificados.
• Una colección completa de los posibles
objetivos de
control y controles a utilizar figura en el
anexo A de la
norma.
• Para su correcta organización, los
controles no deben ser
considerados como compartimentos
estancos. Ya hemos
comentado que la seguridad de la
información hay que
considerarla dentro de su relación con los
otros
elementos del sistema de información.