Análisis de riesgos cubiertos según la ISO/IEC 27002:2013

 Para esta actividad he imaginado un análisis básico sobre cómo los distintos dominios de seguridad de la norma ISO/IEC 27002:2013 cubren amenazas y riesgos en una organización.

En lugar de hacer una hoja de cálculo, describo a continuación cómo sería la evaluación para cinco dominios seleccionados, asignando valores simulados a los factores requeridos: ponderación, nivel de amenaza, probabilidad de éxito del control y riesgo cubierto.

 Ejemplo de dominios analizados:

  1. Gestión de activos

    • Ponderación: alta, por ser clave en la protección de datos.

    • Amenaza estimada: 7/10.

    • Probabilidad de control efectivo: 0.70.

    • Riesgo cubierto (estimación): 4.90.

  2. Control de accesos

    • Ponderación: muy alta.

    • Amenaza: 9/10.

    • Probabilidad de éxito: 0.80.

    • Riesgo cubierto: 7.20.

  3. Seguridad física

    • Amenaza: 5/10.

    • Probabilidad de protección: 0.60.

    • Riesgo cubierto: 3.00.

  4. Seguridad de recursos humanos

    • Amenaza: 6/10.

    • Probabilidad: 0.75.

    • Riesgo cubierto: 4.50.

  5. Criptografía

    • Amenaza: 4/10.

    • Probabilidad de éxito: 0.90.

    • Riesgo cubierto: 3.60.


Este ejercicio permite identificar qué dominios protegen mejor frente a ciertos riesgos. Los que tienen mayor impacto, como el control de accesos, suelen requerir más atención y recursos para garantizar su eficacia.

Comentarios

Publicar un comentario

Entradas populares de este blog

Aplicación del dominio de desarrollo y mantenimiento de sistemas

He elegido el dominio de  adquisición, desarrollo y mantenimiento de sistemas  porque está directamente relacionado con el software que se utiliza en cualquier organización o incluso en contextos personales. Este dominio incluye controles que garantizan que los sistemas que se desarrollan o compran  sean seguros desde su diseño , evitando vulnerabilidades o puertas traseras.  Ejemplos de medidas: Revisión de código : Validar que no haya errores o fragmentos peligrosos que puedan ser aprovechados por atacantes. Pruebas de seguridad : Realizar simulaciones o auditorías antes de poner un sistema en funcionamiento. Gestión de cambios : Tener un control documentado de cada modificación del sistema, quién la hace y por qué. Seguridad en entornos de prueba : Asegurar que los datos reales no se usen en pruebas de desarrollo. Aplicación práctica: Estas medidas son muy útiles incluso en proyectos personales, como páginas web, aplicaciones o software académico. Asegurarse de qu...
Leer más

Inventario de activos del hogar

Tras definir que el alcance de mi política de seguridad es  toda la vivienda , he realizado un inventario de los principales  activos relacionados con la información  que utilizo en mi día a día. Estos activos pueden ser tanto  digitales como físicos  y son esenciales para mis tareas académicas, personales y de gestión cotidiana. Descripción de los activos Ordenador portátil : Es el dispositivo que uso para estudiar, realizar trabajos, acceder a plataformas universitarias, conectarme a clases virtuales y gestionar mis documentos personales. En él se almacenan datos sensibles como trabajos académicos, contraseñas y documentos PDF escaneados. Teléfono móvil : Además de ser un medio de comunicación, en mi móvil tengo acceso a redes sociales, banca online, correo electrónico y aplicaciones con datos privados. Es un dispositivo que manejo diariamente y que contiene información personal muy valiosa. Router Wi-Fi : Este dispositivo permite la conexión a Internet en tod...
Leer más