El documento describe las vulnerabilidades, riesgos y opciones para tratar el riesgo en una organización. Las vulnerabilidades son debilidades de seguridad asociadas con los activos de información que no causan daño por sí mismas pero pueden ser explotadas por amenazas. Se identifican varias opciones para tratar el riesgo, incluyendo reducirlo, aceptarlo, transferirlo o evitarlo, con el objetivo de llevar el riesgo residual a un nivel aceptable.
1. Vulnerabilidades Las vulnerabilidades son debilidades de seguridad asociadas con los activos de información de una organización. Las vulnerabilidades no causan daño. Simplemente son condiciones que pueden hacer que una amenaza afecte un activo.
2. Identificación de vulnerabilidades Seguridad de los recursos humanos Control de acceso Seguridad física y ambiental Gestión de operaciones y comunicación Mantenimiento, desarrollo y adquisición de sistemas de información
9. Reducir el riesgo Se deben implementar controles apropiados para poder reducir el riesgo al nivel que se haya definido como aceptable. Reduciendo la posibilidad de que la vulnerabilidad sea explotada por la amenaza. Reduciendo el posible impacto si el riesgo ocurriese, detectando eventos no deseados, reaccionando y recuperándose de ellos.
10.
11. Transferir el riesgo La transferencia del riesgo es una opción cuando para la compañía es difícil reducir el riesgo a un nivel aceptable. Opciones para transferir el riesgo: Aseguradoras Terciarización.
12. Evitar el riesgo El riesgo puede evitarse por medio de: No desarrollar ciertas actividades comerciales (par ejemplo: la no utilización de Internet). Mover los activos de un área de riesgo. Decidir no procesar información particularmente sensitiva.
14. Riesgo residual Después de implementar las decisiones relacionadas con el tratamiento de un riesgo, siempre habrá un remanente de ese mismo riesgo. Si el riesgo residual se considerara inaceptable, deben tomarse decisiones para resolver su caso. Una opción es identificar diferentes opciones de tratamiento de riesgo; otra es instaurar más controles, o hacer arreglos con aseguradoras para reducir finalmente el riesgo a niveles aceptables.