1 Nada vulnerable. 2 Poco vulnerable. 3 Bastante vulnerable. 4 Muy vulnerable.
•Todas las valoraciones realizadas. • Los valores de riesgo intrínseco. • Cuál es el riesgo asumible. • Las decisiones tomadas respecto a cada uno de los activos.
Gestión de riesgos
• Si está ya implementado.
• Si ayudaría a reducir el riesgo de alguno de los activos.
• Si el coste de implementarlo es aceptable.
• Si el coste de la operación y el mantenimiento del control serán aceptables.
Una vez que sabemos a qué nos estamos enfrentando, es necesario escoger de entre los controles incluidos en la Norma UNE-ISO/IEC 27002 los que nos van a servir para reducir los niveles de riesgo identificados en la fase anterior.
Plan de tratamiento del riesgo
• Confidencialidad: reducir el porcentaje de incidentes relacionados, aumentar la concienciación del personal, etc.
• Disponibilidad: porcentaje de disponibilidad de los equipos y sistemas.
• Integridad: reducir el porcentaje de información errónea, disminuir el por- centaje de fallos del sistema o las aplicaciones, etc.
MONITOREO
Periódicamente se revisará el valor de los activos, impactos, amenazas, vulnerabilidades y probabilidades en busca de posibles cambios, que exijan la valoración iterativa de los riesgos de seguridad de la información.
• Nuevos activos o modificaciones en el valor de los activos
