Respuestas
Respuesta:
Las amenazas y vulnerabilidades en ISO 27001 son tratadas en el capítulo 8 de la norma. Su correcta identificación es un aspecto clave de un sistema de seguridad de la información dentro del proceso de evaluación de riesgos. Amenazas y vulnerabilidades en ISO 27001 van de la mano y, por esa razón, se abordan en un mismo capítulo y deben ser consideradas en su conjunto. Sin embargo, entre unas y otras existe una diferencia que no siempre es muy clara, sobre todo para los neófitos en la materia.
La diferencia entre amenazas y vulnerabilidades en ISO 27001
Es muy importante diferenciar claramente entre estos dos atributos de un riesgo, porque la existencia del riesgo, en sí, depende de la coexistencia de una amenaza y una vulnerabilidad.
Por un lado, las vulnerabilidades son defectos o debilidades en un activo. Por el otro, las amenazas pueden desencadenar o explotar una vulnerabilidad para comprometer algún aspecto del activo.
Debemos tener en cuenta que hay muchas amenazas que no tienen absolutamente ninguna relevancia para muchas organizaciones. Un ejemplo muy claro, aunque poco probable, es una organización que no tiene Internet. Esta puede estar despreocupada por la gran variedad de amenazas basadas en la conectividad a la red; pues se trata de una organización que no está expuesta a esas amenazas.
Explicación:
espero que te ayude