ISO 31000

La comprensión y la evaluación del riesgo es una de las formas más fundamentales que su organización puede mejorar como parte de la toma de decisiones sobre la seguridad de la información. Si bien es imposible eliminar todos los riesgos asociados a sus sistemas de TI y la información sensible almacenada, procesada y transmitida en ellos; el empleo de un programa de gestión de riesgo centrará sus recursos limitados donde pueden proporcionar el mayor nivel de reducción del riesgo.

El pensamiento claro acerca de los riesgos, basado en un conocimiento profundo del medio ambiente y conocimiento actual del panorama de amenazas, impulsa una estrategia de seguridad de la información inteligente y bien fundada. Una estrategia informada ayuda a cumplir ambos objetivos de cumplimiento (tales como GLBA, HIPAA y PCI DSS) y objetivos de seguridad más amplios.

Una evaluación de riesgo documenta formalmente a los riesgos asociados con su sistema de TI y la información sensible basada en las amenazas para el sistema, la vulnerabilidad del sistema a esas amenazas y el impacto potencial de un fallo de seguridad en el sistema. Las evaluaciones del riesgo se llevan a cabo cada año para tener en cuenta los cambios en su entorno operativo.

Metodología que utilizamos

Nos basamos en la metodología ISO 27001, en donde se define el alcance o los servicios o procesos que se van a evaluar, posteriormente se realizan entrevistas con los dueños de procesos / servicios para identificar los activos de información (tecnológicos (DB, servidores, redes, etc), físicos como edificios o ubicaciones , gente,y de proceso o documentales ), vulnerabilidades, amenazas. El análisis de riesgos que se realiza es Cualitativo (donde el resultado es un mapa de riesgos con las probabilidades de ocurrencia , y su impacto al negocio –alto , medio, bajo-)