Introducción a la norma ISO 27001
Construcción de Matriz de Riesgos para Gestión Empresarial
Clase 18 de 39 • Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)
Contenido del curso
Contenido de la norma
- 5
Terminología clave de la norma ISO 27001
09:00 - 6
Norma ISO 27001: Gestión de Seguridad de la Información
06:39 - 7
Implementación de ISO 27001: Contexto, Liderazgo y Planificación
08:28 - 8
Implementación de la Norma ISO 27001: Recursos y Competencias
10:15 - 9
Controles del Anexo A de ISO 27001: Introducción y Aplicaciones
08:48 - 10
Controles de Seguridad en ISO 27001: Anexo A y su Implementación
07:54
Gestión de Riesgos
- 11
Gestión de Riesgos y Clasificación de Activos de Información
09:56 - 12
Clasificación de Activos de Información en Excel
11:46 - 13
Creación de Plantilla de Gestión de Activos de Información en Excel
11:40 - 14
Clasificación de Activos de Información en Excel
06:30 - 15
Gestión de Niveles y Tratamientos de Riesgo según ISO 27001
12:58 - 16
Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo
08:01 - 17
Controles para Mitigar Riesgos según ISO 27001
07:28 - 18
Construcción de Matriz de Riesgos para Gestión Empresarial
12:12 - 19
Gestión de Controles en Matrices de Riesgos en Excel
08:54 - 20
Modelo de Tres Líneas de Defensa en Seguridad de la Información
06:38 - 21
Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido
01:40
Controles de seguridad: Políticas y controles de acceso
Controles de seguridad: Operaciones y Comunicaciones
Controles de seguridad: Sistemas de información
Auditoría
Gestión de la Continuidad del Negocio
Cierre del curso
Resumen
¿Cómo construir una matriz de riesgos efectiva?
La gestión de riesgos es una piedra angular para cualquier organización que busque mitigar las amenazas potenciales y optimizar su desempeño. La creación de una matriz de riesgos es un paso clave en este proceso. En este laboratorio, aprenderás cómo construir una matriz que incluya niveles de identificación, análisis y evaluación de riesgos, así como la asignación de controles necesarios.
¿Qué información inicial se debe recopilar?
Antes de comenzar a llenar la matriz, es esencial recopilar cierta información que te permita construir una base sólida para la gestión de riesgos:
- Gestor de riesgo: Identifica quien será la persona responsable de gestionar la matriz.
- Gerencia y versión: Determina a qué área o departamento pertenece la matriz y la versión actual del documento.
- Información principal: Identifica el área o el cargo del gestor, y la fecha de diligenciamiento.
¿Cómo se estructura el código y el proceso de riesgo?
Definir un código único para cada riesgo es crucial para su posterior identificación en la matriz general o el mapa de calor. Es importante que agrupes los riesgos por proceso mayor o de "jerarquía" para que puedas obtener estadísticas claras sobre los riesgos existentes en diferentes procesos o áreas de la organización.
¿Qué detalles deben incluirse en la descripción del riesgo?
El nombre del riesgo debe ser específico y reflejar claramente el posible problema. A través de ejemplos más generales, podrás ir desarrollando habilidades para redactar descripciones de riesgos eficientes. Un ejemplo incluye detalles como la divulgación o alteración de información debido a accesos no autorizados.
¿Cómo identificar las causas y eventos de riesgo?
Las causas determinan la raíz de los riesgos. Es fundamental identificar qué podría estar causando un riesgo para tomar las medidas preventivas necesarias. Al mismo tiempo, los eventos de riesgo son situaciones que pueden potencializar la materialización de estos riesgos.
¿Cuáles son las consecuencias para la organización?
Conocer el impacto de un riesgo en tu organización es esencial. Puede ser divulgación de información, cambios en la reputación, impactos legales y penales o pérdidas económicas. Este análisis ayuda a evaluar cómo un riesgo podría afectar el objetivo estratégico de una empresa.
¿Cómo determinar el grado de impacto ajustado y tipo de impacto?
El grado de impacto ajustado te permite, según tu criterio profesional, subir o bajar el nivel de impacto calculado automáticamente por la matriz. Asimismo, puedes elegir el tipo de impacto como pérdida económica, reputacional o seguridad de la información, ajustándolo a la realidad de la organización.
¿Por qué es importante evaluar la probabilidad de ocurrencia?
Evaluar la probabilidad de que un riesgo sea materializado es vital para entender su gravedad. Esta probabilidad puede ir desde "improbable" hasta "constante" y afecta directamente el nivel de riesgo inherente del proceso. Es un equilibrio que se perfeccionará con la práctica y experiencia.
¿Quién se encarga de gestionar los riesgos?
Es esencial que asignes un responsable para gestionar cada riesgo específico. El dueño del proceso se encargará de implementar acciones preventivas y correctivas para minimizar la posibilidad de ocurrencia del riesgo.
¿Qué sigue después de completar la matriz?
Una vez que hayas identificado y evaluado los riesgos principales, el siguiente paso imprescindible es implementar controles adecuados. Además, será necesario evaluar cómo estos se ubican en el mapa de calor, lo que te permitirá visualizar mejor el escenario y facilitará la decisión de qué riesgos requieren atención inmediata.
Aprender a elaborar una matriz de riesgos es un proceso que requiere de práctica constante. Al desarrollar tus habilidades, podrás ofrecer un enfoque más crítico y objetivo que beneficiará a la organización en su totalidad. ¡Continúa explorando y aplicando estos conocimientos en tu contexto específico!