Recomendamos tener en cuenta los siguientes puntos a la hora de realizar una evaluación de riesgos

Evaluación de Riesgos

Requisitos y objetivos de seguridad, por ejemplo, requisitos específicos y no específicos de las funciones del sistema.

Arquitectura e infraestructuras de sistemas o redes, por ejemplo, utilizando un mapa de red y un plan de componentes que muestren cómo están configurados e interconectados los activos.

Servicios y aplicaciones, incluidos datos y protocolos, por ejemplo, aplicaciones con datos especialmente sensibles.

Procesos relativos al tratamiento de datos, incluidos los parámetros de entrada y salida, como los procesos empresariales, los procesos operativos informáticos y los procesos operativos de las aplicaciones.

Dependencias entre aplicaciones y procesos, por ejemplo, tratamiento de datos especialmente sensibles.

Evaluación del impacto, por ejemplo, identificación de las consecuencias en caso de pérdida de datos sensibles, análisis de amenazas asistido por modelos, etc.

Medidas técnicas, por ejemplo, selección de componentes de seguridad adecuados, como cortafuegos, sistemas de detección de intrusos o sistemas de control de acceso físico y lógico.

Medidas organizativas, por ejemplo, gestión de la continuidad de las actividades y gestión de la recuperación en caso de catástrofe.

Leyes y reglamentos gubernamentales relativos a los requisitos mínimos de control de seguridad

Políticas, procedimientos y directrices documentados o informales

Para más información, consulte la "Information Systems Audit and Control Association", ISACA (www.isaca.org)

o la norma ISO correspondiente para la gestión de riesgos en los sistemas informáticos ISO 27005.

Ciberseguridad