Fases. Tratamientos potenciales del riesgo
Una vez que los riesgos han sido identificadas y evaluadas, todas las
técnicas para gestionar el riesgo de caer en uno o más de estas cuatro
categorías principales:
- Prevención (eliminar)
- Reducción (mitigar)
- Traslado (externalizar o asegurar)
- Retención (aceptar y presupuesto)
- Crear un plan de gestión de riesgo
Seleccionar controles adecuados o contramedidas para medir cada riesgo.
De reducción del riesgo debe ser aprobado por el nivel apropiado de la
gestión. Por ejemplo, un riesgo relativo a la imagen de la organización debe
tener la decisión la alta dirección detrás mientras que la administración de
TI que tienen la autoridad para decidir sobre los riesgos de virus
informáticos.
El plan de gestión del riesgo debería proponer los controles de seguridad
aplicables y eficaces para la gestión de los riesgos. Por ejemplo, un alto
riesgo observado de los virus informáticos podrían ser mitigados mediante la
adquisición y la aplicación de software antivirus. Un buen plan de gestión
del riesgo debe contener un calendario para la aplicación de control y las
personas responsables de esas acciones.
De acuerdo con la norma ISO / IEC 27001, la etapa inmediatamente después
de la finalización de la fase de evaluación del riesgo consta de preparar un
plan de tratamiento del riesgo, que debería documentar las decisiones acerca
de cómo cada uno de los riesgos identificados deben ser tratados. Mitigación
de los riesgos a menudo significa la selección de los controles de
seguridad, que debe ser documentado en una declaración de aplicabilidad, que
identifica cuáles son los objetivos de control especial y los controles de
la norma han sido seleccionados, y por qué.
 
|
