GESTIÓN DEL RIESGO:

ESTIMACIÓN,
EVALUACIÓN Y TRATAMIENTO
DEL
RIESGO
• La gestión del riesgo es la piedra angular de
esta norma. En
la definición de la política del SGSI ya se
indica que deberá
estar alineada con el contexto de la estrategia
de gestión de
riesgos de la organización, contexto en el que
tendrá lugar la
creación y el mantenimiento del SGSI
(4.2.1.b.3).
• La seguridad total no existe. Lograrla resulta
imposible, tanto
por su coste económico como por la
imposibilidad de
conocer y evitar en tiempo real todas las
posibles amenazas
existentes. Desde esta perspectiva, resulta
imprescindible la
definición de los niveles u objetivos de
seguridad que es
necesario o conveniente alcanzar. O bien,
mirándolo desde
su perspectiva opuesta, en qué niveles de
riesgo puede
moverse la organización sin que se vea
comprometida la
continuidad de su actividad en el tiempo.

GESTIÓN DEL RIESGO:

ESTIMACIÓN,
EVALUACIÓN Y TRATAMIENTO
DEL
RIESGO
• Esta complementariedad entre seguridad y
riesgo nos
permite afirmar que la gestión de la
seguridad puede
hacer a través de la gestión del riesgo,
aspecto al que la
Norma UNE-ISO/IEC 27001:2007 dedica la
mayor parte de
las actividades identificadas en la fase de
creación del
SGSI.
• La gestión del riesgo se define como:
“Acciones
coordinadas para dirigir y controlar una
organización
respecto a los riesgos”. La gestión del
riesgo incluye
otras acciones, como análisis, estimación,
aceptación,
evaluación, tratamiento, comunicación,
monitorización y
revisión del riesgo.

GESTIÓN DEL RIESGO:

ESTIMACIÓN,
EVALUACIÓN Y TRATAMIENTO
DEL
RIESGO
• Dentro de las actividades de creación del
SGSI está la
definición del enfoque de elaboración de
riesgos de la
organización, que incluye la elección de una
metodología
de evaluación que se adecue a las
necesidades de la
organización, así como el desarrollo de los
criterios de
aceptación del riesgo y el establecimiento
de los niveles
de riesgo aceptables (4.2.1.c).
• Como resultado de los procesos de
análisis y estimación
de riesgos obtendremos unos valores que,
comparados
con los criterios de aceptación y el nivel de
riesgo
aceptable definido por la organización, nos
servirán para
decidir sobre las posibles acciones a
realizar para el
tratamiento del riesgo.

SELECCIÓN DE LOS
OBJETIVOS DE
CONTROL Y CONTROLES.
• En esta fase de la creación del SGSI se
plasma la decisión
de la organización sobre los objetivos de
control y
controles que va a aplicar para lograr el
cumplimiento de
los requisitos de seguridad u objetivos
identificados.
• Una colección completa de los posibles
objetivos de
control y controles a utilizar figura en el
anexo A de la
norma.
• Para su correcta organización, los
controles no deben ser
considerados como compartimentos
estancos. Ya hemos
comentado que la seguridad de la
información hay que
considerarla dentro de su relación con los
otros
elementos del sistema de información.