• Nuevos activos o modificaciones en el valor de los activos
Periódicamente se revisará el valor de los activos, impactos, amenazas, vulnerabilidades y
probabilidades en busca de posibles cambios, que exijan la valoración iterativa de los riesgos
de seguridad de la información.
MONITOREO
• Integridad: reducir el porcentaje de información errónea, disminuir el por- centaje de fallos del sistema o las aplicaciones, etc.
• Disponibilidad: porcentaje de disponibilidad de los equipos y sistemas.
• Confidencialidad: reducir el porcentaje de incidentes relacionados, aumentar la concienciación del personal, etc.
Plan de tratamiento del riesgo
Una vez que sabemos a qué nos estamos enfrentando, es necesario escoger de entre los controles incluidos en la Norma UNE-ISO/IEC 27002 los que nos van a servir para reducir los niveles de riesgo identificados en la fase anterior.
• Si el coste de la operación y el mantenimiento del control serán aceptables.
• Si el coste de implementarlo es aceptable.
• Si ayudaría a reducir el riesgo de alguno de los activos.
• Si está ya implementado.
Gestión de riesgos
•Todas las valoraciones realizadas.
• Los valores de riesgo intrínseco.
• Cuál es el riesgo asumible.
• Las decisiones tomadas respecto a cada uno de los activos.
1 Nada vulnerable. 2 Poco vulnerable. 3 Bastante vulnerable. 4 Muy vulnerable.
