A continuación te presento un ejemplo de cómo se podría elaborar una matriz de riesgo basada en los requisitos de la norma ISO 27001:
Matriz de Riesgo ISO 27001
N° | Evento de riesgo | Probabilidad | Impacto | Nivel de riesgo | Tratamiento |
---|---|---|---|---|---|
1 | Pérdida de datos | Alta | Alta | Alto | Controlar, Mitigar |
2 | Robo de información | Media | Alta | Medio | Controlar, Mitigar |
3 | Ataque informático | Alta | Alta | Alto | Prevenir, Mitigar |
4 | Mal uso de información | Baja | Medio | Bajo | Controlar |
5 | Acceso no autorizado | Media | Medio | Medio | Controlar, Mitigar |
6 | Fallo de sistema | Alta | Medio | Alto | Controlar, Mitigar |
7 | Error humano | Baja | Bajo | Bajo | Controlar |
8 | Interrupción del servicio | Media | Alta | Medio | Prevenir, Mitigar |
9 | Amenazas externas | Alta | Alta | Alto | Prevenir, Mitigar |
10 | Problemas de seguridad física | Baja | Medio | Bajo | Controlar |
Explicación:
- Número (N°): Identificador del evento de riesgo.
- Evento de riesgo: Descripción del evento de riesgo identificado.
- Probabilidad: La probabilidad de que ocurra el evento de riesgo (Alta, Media, Baja).
- Impacto: El impacto potencial del evento de riesgo en la organización (Alto, Medio, Bajo).
- Nivel de riesgo: El nivel de riesgo se determina multiplicando la probabilidad por el impacto.
- Tratamiento: Las medidas que se establecerán para tratar el riesgo identificado (Controlar, Prevenir, Mitigar).
En esta matriz de riesgo se identificaron 10 eventos de riesgo y se evaluaron en términos de su probabilidad y su impacto potencial. Luego se determinó el nivel de riesgo para cada evento y se establecieron medidas de tratamiento de riesgos adecuadas para mitigar los riesgos identificados. Es importante recordar que cada organización es única y puede requerir diferentes tipos de medidas de tratamiento de riesgos para satisfacer sus necesidades específicas.
Comentarios
Publicar un comentario