Faq

¿Qué es un análisis de riesgos?

Es una actividad básica para gestionar la seguridad de una empresa. El análisis del riesgo es una técnica para recopilar los activos técnicos y operacionales de una empresa, valorarlos en la medida en que el negocio se vería afectado por su pérdida y levantar un mapa de las amenazas a las que está expuesto. El resultado es un mapa de riesgos y una valoración de los activos en base a su nivel o estado de riesgo que es, en definitiva, la medida de lo que puede perder la empresa.

¿Qué es la gestión del riesgo?

Es una aproximación ordenada para mantener el riesgo bajo control. Se utilizan los resultados del análisis como información para tomar decisiones de tratamiento orientado a evitar, transferir, mitigar o. simplemente, aceptar los riesgos identificados.

¿Qué hará la herramienta RAT?

Las herramienta RAT permitira establecer un mapa de riesgos contra un catálogo de amenazas y determinar el efecto de los controles sobre el estado de riesgo.

¿Bajo que licencia se distribuye la la herramienta RAT?

La herramienta ISO 17799 RAT se distribuye bajo la licencias GNU General Public License GPL

¿Para qué más sirve un proyecto de análisis y gestión de riesgos?

  • Es la base para un Plan Director de Seguridad que marque la estrategia corporativa de evolución
  • Es paso preliminar necesario para una certificación del sistema de gestión de la seguridad de la información (BSI 7799-2 o UNE 71502) pues determina qué controles son relevantes en una empresa y permite al auditor contrastar la implantación real con las necesidades impuestas por el riesgo al que está sometida la empresa

¿Qué pasos hay que dar para certificar un SGSI?

Para certificar un SGSI (Sistema de Gestión de la Seguridad de los Sistemas de Información) debe realizar una serie de tareas previas:
  1. Debe realizar un análisis de riesgos que cubra todos los sistemas afectos a la futura certificación.
    2. Gracias a este análisis de riesgo podrá justificar
    • qué controles son pertinentes (justificando los que no aplican)
    • qué grado de calidad requiere en los controles
    lo que servirá de guía y justificación frente al evaluador: la Declaración de Aplicabilidad.
  2. A continuación debe realizar una fase de gestión del riesgo, implantando las salvaguardas necesarias para reducir el riesgo a un valor residual acaptable por la Dirección de su Organización.
  3. Puede realizar una auditoría interna preparatoria.
  4. Póngase en contacto con la Entidad de Certificación que le indicará los pasos a seguir en el proceso formal.