GR 3 Plan de acción sobre los riesgos encontrados y implementar acciones correctivas y preventivas correspondientes.
| Objetivo | Establecer un cronograma y plan de acción para mitigar los riesgos a corto y mediano plazo que se consideren inaceptables según la tolerancia al riesgo definida por la organización. Adicionalmente verificar que, una vez subsanados los riesgos con la aplicación de controles adicionales o compensatorios, los mismos se reducen a un nivel aceptable de exposición en relación a los efectos no deseados. |
| Alcance | Cualquier organización. |
| Referencia ISO 27001 | Cláusulas 6.1.1, 6.1.2, 6.1.3, 8.2, 8.3 |
| Guía de implementación | Tratamiento del riesgo
El resultado final de este análisis debe ser una lista priorizada de áreas de alto riesgo y una estrategia de control general para minimizar el riesgo para la organización en términos de impacto general. |
| Administración Central | - |
| Instituciones de salud | Se debe realizar una evaluación de los posibles riesgos y vulnerabilidades a la confidencialidad, integridad y disponibilidad de la Historia Clínica Electrónica (HCE). Además, se debe realizar una evaluación de riesgos con relación a la conectividad de dispositivos médicos, contemplando: identificación de activos, identificación de tipo de conectividad, casos de uso, flujos de comunicación, exposición de servicios a Internet, segregación/segmentación para ubicar estos activos, control de acceso a los dispositivos y a la red, acceso remoto, cifrado de comunicación en tránsito, uso de certificados, gestión, operación y monitoreo de los dispositivos, hardening, etc. |
| Guía de evidencia para auditoría |
|
| Normativa asociada | Decreto 452/009 |