Evaluación de Riesgos
La hoja “Evaluación de Riesgos” de la planilla Guía - Implantación SGSI - Inventario activos y Evaluación riesgos se divide en dos partes.
Por un lado, la evaluación de riesgo actual; esta evaluación se realiza en base a la exposición y al impacto sobre la organización resultando en un “número de riesgo”, la exposición se calcula en base a las amenazas y vulnerabilidades.
Por otro lado, tenemos el riesgo residual; esto refiere al riesgo que se obtiene de aplicar los tratamientos sugeridos para los riesgos actuales.
Descripción de campos:
Grupo: Grupo de activos a evaluar.
Amenazas: una causa potencial de un incidente indeseado, que puede dar lugar a daños a un sistema o a una organización.
Vulnerabilidades: una debilidad de un activo o de un grupo de activos que puede ser explotada por una o más amenazas.
Prob. Amenaza: probabilidad de ocurrencia de la amenaza.
Nivel Vulera.: grado de afectación de la vulnerabilidad.
Exp.: Grado de exposición; esto refleja que tan expuesto está el activo ante el “mundo” en base a las amenazas y vulnerabilidades que tiene.
Impacto: Valoración máxima asignada a Disponibilidad, Integridad o Confidencialidad dentro del grupo de activos referenciado. Pasa saber este valor se debe consultar la hoja “Inventario de Activos”.
Controles actuales: Controles existentes que mitiguen la amenaza.
Riesgo residual actual: Valor asignado según la siguiente tabla, teniendo en cuenta la Exposición y el Impacto del grupo de activos.
Tratamiento: Acciones o controles sugeridos para mitigar la amenaza.