GR 1 Adoptar una metodología de Evaluación de Riesgo alineada a las necesidades del SGSI.
| Objetivo | Establecer un proceso de evaluación de riesgo en base a una metodología que permita guiar a la organización por las buenas prácticas de la evaluación del riesgo a nivel tecnológico y de procesos; permitiendo establecer su apetito riesgo, la tolerancia sobre las desviaciones, calcular la probabilidad de ocurrencias y el impacto potencial sobre la materialización de las vulnerabilidades. |
| Alcance | Cualquier organización. |
| Referencia ISO 27001 | Cláusulas 6.1.1, 6.1.2, 6.1.3, 8.2, 8.3 |
| Guía de implementación | Se debe adoptar una metodología de evaluación de riesgo basado en la identificación de amenazas y vulnerabilidades, que pueda aplicarse a todos los aspectos tecnológicos, y que esté alineada a la gestión de riesgos de negocio de la organización. Política Responsable Aprobación y difusión |
| Administración Central | - |
| Instituciones de salud | Se debe realizar una evaluación de los posibles riesgos y vulnerabilidades a la confidencialidad, integridad y disponibilidad de la Historia Clínica Electrónica (HCE). Además, se debe realizar una evaluación de riesgos con relación a la conectividad de dispositivos médicos, contemplando: identificación de activos, identificación de tipo de conectividad, casos de uso, flujos de comunicación, exposición de servicios a Internet, segregación/segmentación para ubicar estos activos, control de acceso a los dispositivos y a la red, acceso remoto, cifrado de comunicación en tránsito, uso de certificados, gestión, operación y monitoreo de los dispositivos, hardening, etc. |
| Guía de evidencia para auditoría |
|
| Normativa asociada | Decreto 452/009 |