Gestionar riesgos en la nube
Assign topic to the user
Respuesta:
Desde mi punto de vista, el almacenamiento de información es una parte de tu negocio, pero no es la única, existen otras partes importantes, como por ejemplo el proceso de digitalización, que entiendo se gestiona por tu empresa directamente, y en este caso está claro que tenéis que gestionar los riesgos asociados.
Con respecto a la gestión de riesgos en la nube, los activos en los que tendrías que centrarte principalmente, porque están dentro del alcance de tu organización, son la información y las aplicaciones (por ejemplo máquinas virtuales, si estas son gestionadas por tu empresa).
Este artículo sobre el registro de activos puede ser interesante para ti "How to handle Asset register (Asset inventory) according to ISO 27001" : https://advisera.com/27001academy/knowledgebase/how-to-handle-asset-register-asset-inventory-according-to-iso-27001/
Y para más información sobre la gestión de riesgos, quizás pueda interesarte nuestro curso online "ISO 27001:2013 Foundations Course" : https://advisera.com/training/iso-27001-foundations-course/
entonces esos recursos o activos que están fuera de mi alcance ¿se aplica como opción de tratamiento una transmisión del riesgo?
Si existen activos específicos fuera del alcance de tu SGSI, no tienes que incluirlos en la gestión de riesgos, esto significa que no tienes que hacer un tratamiento de los mismos (transferir, aceptar, evitar, aplicar controles).
Pero si existe una entidad externa que te ofrece un servicio (relacionado con el alcance de tu SGSI), puedes identificar los riegos relacionados con este servicio durante el proceso de tratamiento de riesgos, y transferirlos a la entidad externa.
Por cierto, recuerda que no es lo mismo el Plan de Tratamiento de Riesgos, que el Proceso de Tratamiento de Riesgos, aquí puedes ver las diferencias “Risk Treatment Plan and risk treatment process – What’s the difference?” : https://advisera.com/27001academy/iso-27001-risk-assessment-treatment-management/#treatment
Y este artículo también puede ser interesante para ti “6-step process for handling supplier security according to ISO 27001” : https://advisera.com/27001academy/blog/2014/06/30/6-step-process-for-handling-supplier-security-according-to-iso-27001/
Comment as guest or Sign in
Mar 02, 2016