Gestión de Riesgo de la Información

Gestión de Riesgo de la Información

Principios Fundamentales basados en CISM - Capítulo 2

Amenaza

Características y capacidades de una fuente de peligro potencial.

Vulnerabilidad

Gravedad de una debilidad en los controles o sistemas.

Impacto

Consecuencias en la empresa si el riesgo se materializa.

Clasificación de Riesgos

El profesional ordena el riesgo combinando estos componentes para ayudar al Propietario del Riesgo a dirigir la respuesta.

Umbrales para la Toma de Decisiones

Consecuencias

El impacto directo en la organización.

Probabilidad

Frecuencia estimada de ocurrencia de eventos.

Impacto Acumulativo

Serie de eventos ocurriendo simultáneamente.

Efecto en Cascada

El 'efecto dominó' en sistemas acoplados.

Costo del Tratamiento

Relación costo-beneficio de la solución.

Capacidad de Absorción

Habilidad de la empresa para soportar pérdidas.

Nota Importante: Los criterios deben considerar los objetivos organizativos y los puntos de vista de las partes interesadas, no solo métricas técnicas.

Parte A: Evaluación

  • 2.1
    Riesgo Emergente Identificación de nuevos escenarios de amenazas.
  • 2.2
    Análisis de Vulnerabilidades Detección de deficiencias en los controles.
  • 2.3
    Valoración del Riesgo Análisis y evaluación para determinar el nivel de riesgo.

Parte B: Respuesta

  • 2.4
    Tratamiento del Riesgo Selección de opciones (Mitigar, Transferir, Aceptar, Evitar).
  • 2.5
    Propiedad Asignación clara del dueño del riesgo y del control.
  • 2.6
    Monitorización Seguimiento continuo y presentación de informes.

"El objetivo es que los resultados no sean ambiguos, incorrectos o engañosos."

Material educativo basado en el archivo CAPITULO2-PARTEA.pdf | CISM Review