Etiquetado: 

Mostrando 1 respuesta al debate
  • Autor
    Entradas
    • #52795
      Marcia
      Participante

      Hola,
      Tengo una duda. Si uno ya tiene una certificación por lo cual para esa certificación se presentó una evaluación de riesgos, en el siguiente año, se puede presentar la misma evaluación de riesgos? Se puede dar esa situación? No ha cambiado por ejemplo el listado de activos críticos, ni nada.
      Me cuentan por favor?
      Gracias
      Slds

    • #52844
      David Acosta
      Participante

      Hola Marcia:
      De acuerdo con el requerimiento 12.2, el análisis de riesgos se debe realizar, al menos, una vez al año y después de implementar cambios significativos en el entorno (adquisiciones, fusiones o reubicaciones, etc.). No obstante, hay que tener en cuenta que el cálculo del nivel de riesgo de un activo viene dado por la interacción entre diversas variables como los activos, las amenazas, las vulnerabilidades, el impacto, la frecuencia (probabilidad), etc. Si asumimos que los activos no han cambiado en un año, las amenazas y vulnerabilidades seguro que sí, al igual que la frecuencia. Por eso, el ejercicio de evaluación de riesgos debe ser periódico, para garantizar que todas estas variables son analizadas en su contexto actual.
      Te pongo algunos ejemplos: ramsonware, ataques de día cero, la pandemia de COVIT-19, los ataques actuales a pagos de comercio electrónico, etc. Todos estos han aumentado respecto al año anterior y seguro que algunos ni siquiera se consideraron (como COVIT-19 y su impacto en la empresa).
      Por ello, el análisis de riesgos debe ser realizado anualmente así los activos no hayan cambiado.
      Finalmente, mi sugerencia es asumir la realización del análisis de riesgos como un ejercicio preventivo frente a potenciales problemas futuros y no como una simple acción burocrática para cumplir con el estándar. El valor de los análisis de riesgos han salvado a miles de empresas, permitiendo que se preparen ante eventos inciertos.
      Hace algunos años escribí un artículo relacionado con análisis de riesgos en ISACA Journal, que puedes leer aquí si te interesa ese tema: https://www.isaca.org/resources/isaca-journal/issues/2016/volume-2/ataraxia-and-premeditation-as-elements-of-judgment-in-the-risk-analysis-process

Mostrando 1 respuesta al debate
  • Debes estar registrado para responder a este debate.