Definir el alcance y límites del SGSI en términos de las características del negocio, la organización, su ubicación, sus activos, tecnología e incluir los detalles y justificación de cualquier exclusión del alcance.
Definir una política de SGSI en términos de las características del negocio, la Organización, su ubicación, sus activos y tecnología, que:
Incluya un marco de referencia para fijar objetivos y establezca un sentido general de dirección y principios para la acción con relación a la seguridad de la información;
Tenga en cuenta los requisitos del negocio, los legales o reglamentarios y las obligaciones de seguridad contractuales;
Esté alineada con el contexto organizacional estratégico de gestión del riesgo en el cual tendrá lugar el establecimiento y mantenimiento del SGSI;
Establezca los criterios contra los cuales se evaluará el riesgo.
Haya sido aprobada por la dirección.
Definir el enfoque organizacional para la valoración del riesgo.
Identificar una metodología de valoración del riesgo que sea adecuada al SGSI y a los requisitos reglamentarios, legales y de seguridad de la información del negocio, identificados.
Desarrollar criterios para la aceptación de riesgos e identificar los niveles de riesgo aceptables.
Identificar los riesgos
Identificar los activos dentro del alcance del SGSI y los propietarios de estos activos.
Identificar las amenazas a estos activos.
Identificar las vulnerabilidades que podrían ser aprovechadas por las amenazas.
Identificar los impactos que la pérdida de confidencialidad, integridad y disponibilidad puede tener sobre estos activos.
Analizar y evaluar los riesgos.
Valorar el impacto de negocios que podría causar una falla en la seguridad sobre la organización teniendo en cuenta las consecuencias de la pérdida de confidencialidad, integridad o disponibilidad de los activos.
Valorar la posibilidad realista de que ocurra una falla en la seguridad considerando las amenazas, las vulnerabilidades, los impactos asociados con estos activos y los controles implementados actualmente.
Estimar los niveles de los riesgos.
Determinar la aceptación del riesgo o la necesidad de su tratamiento.
Identificar y evaluar las opciones para el tratamiento de los riesgos.
Las posibles acciones incluyen:Aplicar los controles apropiados.
Aceptar los riesgos con conocimiento y objetividad siempre y cuando satisfagan claramente la política y los criterios de la organización para la aceptación de riesgos.
Evitar riesgos
Transferir a otras partes los riesgos asociados con el negocio, por ejemplo: aseguradoras, proveedores, etc.
Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos.
Los objetivos de control y los controles se deben seleccionar e implementar de manera que cumplan los requisitos identificados en el proceso de valoración y tratamiento de riesgos.
Obtener la aprobación de la dirección sobre los riesgos residuales propuestos.
Obtener autorización de la dirección para implementar y operar el SGSI.
Elaborar una declaración de aplicabilidad.
Planificar: Establece la política, los objetivos, procesos y procedimientos de seguridad pertinentes para gestionar el riesgo y mejorar la seguridad de la información, con el fin de entregar resultados acordes con las políticas y objetivos globales de una organización.
Hacer: Implementa y opera la política, los controles, procesos y procedimientos del SGSI.
Verificar: Evalúa y en donde sea aplicable, mide el desempeño del proceso contra la política, los objetivos de seguridad, la experiencia práctica y reporta los resultados a la dirección, para su revisión.
Actuar: Emprende acciones correctivas y preventivas con base en los resultados de la auditoría interna y la revisión por la dirección, para lograr la mejora continua del SGSI.