Guía de actividades del Equipo Responsable por la Gestión del

SGSI
Sistema de Gestión de Seguridad de la Información
Guía de actividades del
Equipo Responsable por
la Gestión del Riesgo de
Seguridad de la
Información
Versión 1.0 – 2010
Setiembre 2010
Versión 1.0 – 2010
Este documento ha sido elaborado por AGESIC (Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad
de la Información y el Conocimiento)
Usted es libre de copiar, distribuir, comunicar y difundir públicamente este documento así como hacer obras derivadas, siempre y
cuando tengan en cuenta citar la obra de forma específica y no utilizar esta obra para fines comerciales. Toda obra derivada de
esta deberá ser generada con estas mismas condiciones.
Guía de actividades del Equipo Responsable por la
Gestión de Riesgo de Seguridad de la Información | 4
Guía de actividades del Equipo
Responsable por la Gestión del Riesgo
de Seguridad de la Información
Objeto
Con el fin de que el Organismo pueda cumplir con los objetivos definidos
respecto a la gestión del riesgo de seguridad de la información, es necesario
contar un equipo de trabajo que gestione los riesgos que pudieran comprometer
la seguridad de la información en el Organismo.
Alcance
La asignación de las responsabilidades al equipo de trabajo responsable por la
gestión del riesgo de seguridad de la información debería hacerse de acuerdo
con la Política de Gestión del Riesgo de Seguridad de la Información definida y
aprobada por la Dirección del Organismo.
Desarrollo
Las principales actividades a desarrollar son:

Realizar el anáisis de impacto de los posibles incidentes de seguridad
informática sobre los procesos del organismo.

Identificar los riesgos asociados a la seguridad de la información,
contemplando el contexto del Organismo.

Analizar los riegos a través de su probabilidad de ocurrencia y su
impacto en la organización, evaluar el resultado del análisis contra el
criterio de aceptación del riesgo previamente definido.
Título | 5

Adoptar medidas de tratamiento de riesgos a los efectos de
minimizarlos hasta un nivel aceptado, sobre una base de costo beneficio.

Mantener informadas a las partes involucradas sobre el estado del
riesgo.

Dar seguimiento y revisión regular de los riesgos y del proceso de
gestión de riesgos.

Identificar acciones de mejora a lo largo de todo el proceso de gestión
del riesgo con el fin del enfoque de la gestión de riesgos.

Colaborar con el Responsable de Seguridad de la Información del
Organismo.

Colaborar con el equipo responsable por la Gestión de Incidentes de
Seguridad de la Información del Organismo.

Colaborar con el equipo responsable por la definición e implementación
del Plan de Continuidad del Negocio del Organismo.
Referencias
[1] UNIT-ISO/IEC TR 27005:2008 Tecnología de la información - Técnicas de
seguridad - Gestión del riesgo de seguridad de la información.