Tratamiento de Riesgos
01-01-2010
Una vez que los riesgos han sido identificados y evaluados, todas las técnicas para gestionar el riesgo deben caer en uno o más de estas cuatro categorías principales:
- Prevención (eliminar)
- Reducción (mitigar)
- Trasladar (externalizar o asegurar)
- Retenner (aceptar y presupuesto)
- Crear un plan de gestión de riesgo
Seleccionar controles adecuados o contramedidas para medir cada riesgo. La reducción del riesgo debe ser aprobada por el nivel apropiado de la gestión. Por ejemplo, un riesgo relativo a la imagen de la organización debe tener la decisión en la alta dirección, mientras que la administración de TI debe tener autoridad para decidir sobre los riesgos de virus informáticos.
El plan de gestión del riesgo debería proponer los controles de seguridad aplicables, que sean eficaces para la gestión de los riesgos. Por ejemplo, un alto riesgo observado de los virus informáticos podrían ser mitigados mediante la adquisición y la aplicación de software antivirus. Un buen plan de gestión del riesgo sdebe contener un calendario para la aplicación de controles y las personas responsables de esas acciones.
De acuerdo con la norma ISO / IEC 27001, la etapa inmediatamente después de la finalización de la fase de evaluación del riesgo consta de preparar un plan de tratamiento del riesgo, que debería documentar las decisiones acerca de cómo cada uno de los riesgos identificados deben ser tratados. La mitigación de los riesgos a menudo significa la selección de los controles de seguridad, que deben ser documentados en una declaración de aplicabilidad, que identifica cuáles son los objetivos de control especial, qué controles de la norma han sido seleccionados, y por qué.
contacto | publicidad | legal | Política de Cookies | About EF
Enciclopedia Financiera, acercando la economía