hay que centrarse en los más importantes, llamados "riesgos inaceptables"

---

Hay cuatro opciones que puede elegir para mitigar cada riesgo inaceptable:

* Aplicar los controles de seguridad del anexo A para disminuir los riesgos.

---

El Anexo A de ISO 27001 es probablemente el anexo más famoso de todas las normas ISO; esto se debe a que proporciona una herramienta esencial para administrar la seguridad: una lista de controles de seguridad (o salvaguardas) que se utilizarán para mejorar la seguridad de la información.

¿Cuántos controles hay en ISO 27001?

Hay 114 controles enumerados en ISO 27001.

---

* Transfiera el riesgo a otra parte, por ejemplo, a una compañía de seguros comprando una póliza de seguro.

* Evite el riesgo deteniendo una actividad que es demasiado arriesgada, o haciéndolo de una manera completamente diferente.

* Acepte el riesgo: si, por ejemplo, el costo de mitigar ese riesgo sería mayor que el daño en sí.

Aquí es donde necesita ser creativo: cómo reducir los riesgos con una inversión mínima. Sería más fácil si su presupuesto fuera ilimitado, pero eso nunca sucederá. Y debo decirle que desafortunadamente su administración es correcta: es posible lograr el mismo resultado con menos dinero, solo necesita descubrir cómo.

---

Informe de evaluación de riesgos del SGSI

A diferencia de los pasos anteriores, este es bastante aburrido: debes documentar todo lo que has hecho hasta ahora. No solo para los auditores, sino que también puede verificar estos resultados en un año o dos.

---