domingo, 17 de octubre de 2010

Evaluando Riesgos de Seguridad

"Las valoraciones de riesgos deben identificar, deben cuantificar, y deben prioritizar los riesgos contra el criterio para la aceptación de riesgo y los objetivos pertinentes a la organización. Los resultados deben guiar y deben determinar la apropiada acción administrativa y la prioridad para gestionar el riesgo de la seguridad de información y para implementar los controles seleccionados para protegerse contra estos riesgos."
Autor: Ingeniero Jaime Hernando Rubio Rincón

La valoración del riesgo de seguridad de la información debe tener un alcances claramente definidos para que sean eficaces, debe incluir las relaciones con las valoraciones de riesgo en otras áreas.
Toda evaluación de riesgo debe incluir al personal en general. todos forman parte de la seguridad de la información.Las guías para la Gestión de la Seguridad de la información: Las técnicas para el manejo de Seguridad de la INFORMACIÓN.
Las evaluaciones y decisiones tomadas deben ser documentadas. Para cada uno de los riesgos identificados siguiendo a la evaluación se debe tomar una decisión de tratamiento del riesgo. Las posibles opciones para el tratamiento de riesgo incluyen:
a) aplicando los controles apropiados para reducir los riesgos;
b) aceptando los riesgos a sabiendas y objetivamente, asumiendo que ellos satisfacen claramente la política de organización y los criterio para la aceptación de riesgo;
c) evitando los riesgos no permitiendo acciones que causarían la ocurrencia de los riesgos;
d) transfiriendo los riesgos asociados a una tercera parte, por ejemplo aseguradores o proveedores.

3 comentarios:

Guidoshky dijo...

hay alguna norma internacional / nacional las cuales tenga que seguir?? si hubiera cuales son ??

JaimeLG dijo...

Si, las normas que se utilizan para la Gestion de la seguridad de la inforamción es:
El ISO/27001
PCI
Y dentro de gestión de auditoria de sistemas tenemos el Cobit.

Pondre una proxima publicación con esta información.

zenobio dijo...

quisiera saber porque desde tiempos remotos la información en la empresas son valiosas, mi pregunta va que una empresa debe de desactivar los puertos USB para minimizar estas amenazas, pero actualmente el USB es una herramienta de ayuda para la humanidad en las que nos permite guardar mucha información que se debería de hacer en ese caso para minimizar esas amenazas como los virus, que se roben la información etc.