{"id":4872,"date":"2010-04-02T03:04:28","date_gmt":"2010-04-02T03:04:28","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/010\/04\/02\/consejos-sobre-la-evaluacion-de-riesgos-para-empresas-pequenas\/"},"modified":"2022-12-28T12:45:35","modified_gmt":"2022-12-28T12:45:35","slug":"consejos-sobre-la-evaluacion-de-riesgos-para-empresas-pequenas","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/es\/blog\/2010\/04\/02\/consejos-sobre-la-evaluacion-de-riesgos-para-empresas-pequenas\/","title":{"rendered":"Consejos sobre la evaluaci\u00f3n de riesgos para empresas peque\u00f1as"},"content":{"rendered":"<p>He visto bastantes empresas peque\u00f1as (de hasta 50 empleados) intentado adaptar herramientas para la evaluaci\u00f3n de riesgos como parte de su proyecto de implementaci\u00f3n de la norma <a href=\"\/27001academy\/es\/?page_id=675\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001<\/a>. El resultado es que, generalmente, demanda mucho tiempo y dinero y se consiguen muy pocos resultados.<\/p>\n<p>Primero, \u00bfqu\u00e9 es realmente la evaluaci\u00f3n de riesgos y cu\u00e1l es su objetivo? La evaluaci\u00f3n de riesgos es un proceso durante el cual una organizaci\u00f3n debe identificar los riesgos de seguridad de la informaci\u00f3n determinando su probabilidad e impacto. En otras palabras, la organizaci\u00f3n debe reconocer todos los potenciales problemas con su informaci\u00f3n, c\u00f3mo podr\u00edan suceder y qu\u00e9 consecuencias podr\u00edan tener. El objetivo de la evaluaci\u00f3n de riesgos es encontrar qu\u00e9 controles se necesitan para disminuir el riesgo; la selecci\u00f3n de controles se denomina proceso de tratamiento de riesgos y, en la ISO 27001, estos controles son tomados del Anexo A, donde se especifican 133 controles.<\/p>\n<p>La evaluaci\u00f3n de riesgos se realiza identificando y evaluando activos, vulnerabilidades y amenazas. Un activo es todo lo que tenga valor para la organizaci\u00f3n: hardware, software, personal, infraestructura, datos (en diversos formatos y medios), proveedores y socios, etc. Una vulnerabilidad es una debilidad en un activo, proceso, control, etc. que pueda ser explotado por una amenaza. Una amenaza es cualquier causa que pueda infligir da\u00f1o a un sistema u organizaci\u00f3n. Un ejemplo de una vulnerabilidad es la falta de software antivirus; y una amenaza relacionada es el virus inform\u00e1tico.<br \/>\n<div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script><br \/>\n<div id=\"side-banner-trigger\" class=\"banner-shortcode\"><\/div><br \/>\nTeniendo todo esto en cuenta, si su organizaci\u00f3n es peque\u00f1a, usted realmente no necesita una herramienta sofisticada para realizar la evaluaci\u00f3n de riesgos. Todo lo que necesita es una hoja de c\u00e1lculo de Excel, buenos cat\u00e1logos de vulnerabilidades y amenazas y una buena <a href=\"\/27001academy\/es\/?p=3247\" target=\"_blank\" rel=\"noopener noreferrer\">metodolog\u00eda de evaluaci\u00f3n de riesgos<\/a>. La tarea principal pasa realmente por evaluar la probabilidad y las consecuencias, y esto no es posible hacerlo con cualquier herramienta, es algo que los propietarios de sus activos, con el conocimiento que tienen sobre los mismos, tienen que evaluar.<\/p>\n<p>Entonces, \u00bfd\u00f3nde consigue los cat\u00e1logos y la metodolog\u00eda? Si actualmente utiliza los servicios de un consultor, \u00e9l o ella deber\u00eda proporcion\u00e1rselos; si no, hay algunos cat\u00e1logos disponibles en Internet, s\u00f3lo debe buscarlos con Google. La metodolog\u00eda no est\u00e1 disponible en forma gratuita, pero podr\u00eda usar la norma ISO 27005 (describe detalladamente la evaluaci\u00f3n y tratamiento de riesgos) o podr\u00eda usar otros sitios Web que venden la metodolog\u00eda. Todo esto deber\u00eda resultar en un considerable ahorro de tiempo y dinero en lugar de comprar una herramienta para la evaluaci\u00f3n de riesgos y aprender a utilizarla.<\/p>\n<p>Una buena metodolog\u00eda debe contener un m\u00e9todo para identificar activos, amenazas y vulnerabilidades, tablas para marcar las probabilidades y consecuencias, un m\u00e9todo para calcular el riesgo y para definir el nivel aceptable de riesgo. Los cat\u00e1logos deben tener al menos 30 vulnerabilidades y 30 amenazas; algunos cuentan, inclusive, con unos cientos de cada uno, pero esto probablemente sea demasiado para una empresa peque\u00f1a.<\/p>\n<p>El proceso realmente no es complicado; aqu\u00ed se detallan los pasos b\u00e1sicos para la valuaci\u00f3n y el tratamiento:<\/p>\n<ol>\n<li>Definir y documentar la metodolog\u00eda (incluyendo los cat\u00e1logos) y distribuirlos a todos los propietarios de activos de la organizaci\u00f3n.<\/li>\n<li>Organizar entrevistas con todos los propietarios de activos para que ellos identifiquen sus activos y las vulnerabilidades y amenazas relacionadas. En el segundo paso solicitarles que eval\u00faen la probabilidad e impacto si ocurriera un riesgo en particular.<\/li>\n<li>Consolidar los datos en una \u00fanica hoja de c\u00e1lculo, calcular los riesgos e indicar qu\u00e9 riesgos no son aceptables.<\/li>\n<li>Para cada riesgo que no sea aceptable, escoger uno o m\u00e1s controles del Anexo A de la ISO 27001 y calcular cu\u00e1l ser\u00eda el nuevo nivel de riesgo luego de la implementaci\u00f3n de esos controles.<\/li>\n<\/ol>\n<p>Como conclusi\u00f3n: la evaluaci\u00f3n y tratamiento de riesgos son los verdaderos pilares de la seguridad de la informaci\u00f3n y de la ISO 27001, pero esto no significa que tengan que ser complicados. Lo puede hacer de una manera sencilla, y su sentido com\u00fan es lo que en realidad importa.<\/p>\n<p><em>Para saber m\u00e1s, descargue este <\/em><a href=\"https:\/\/info.staging.advisera.com\/27001academy\/free-download\/diagram-of-iso-270012013-risk-assessment-and-treatment-process\" target=\"_blank\" rel=\"noopener noreferrer\">Diagram of ISO 27001:2013 Risk Assessment and Treatment process<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>He visto bastantes empresas peque\u00f1as (de hasta 50 empleados) intentado adaptar herramientas para la evaluaci\u00f3n de riesgos como parte de su proyecto de implementaci\u00f3n de la norma ISO 27001. El resultado es que, generalmente, demanda mucho tiempo y dinero y se consiguen muy pocos resultados. Primero, \u00bfqu\u00e9 es realmente la evaluaci\u00f3n de riesgos y cu\u00e1l &#8230;<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[53],"tags":[1232],"class_list":["post-4872","post","type-post","status-publish","format-standard","hentry","category-blog-es","tag-iso-27001-es"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/posts\/4872","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/comments?post=4872"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/posts\/4872\/revisions"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/media?parent=4872"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/categories?post=4872"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/tags?post=4872"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}