TECNOLOGÍA
Compártelo
Gestión de los riesgos en seguridad de la información

Gestión de los riesgos en seguridad de la información

Gestionar los riesgos de seguridad de la información requiere de un adecuado método de evaluación y tratamiento de los riesgos.

Gestión de los riesgos en seguridad de la información

La metodología empleada puede incluir una estimación de los costos y beneficios, los requisitos legales, aspectos sociales, económicos y ambientales, las preocupaciones de las partes interesadas en la organización, las prioridades y otras variables adicionales, según sea necesario y de interés en cada caso particular.

Los resultados de la evaluación de riesgos de seguridad de la información proporcionan una importante ayuda para determinar las decisiones de gestión más adecuadas en el tratamiento, en el uso de recursos y en las prioridades que son recomendables aplicar para la gestión óptima de los riesgos de seguridad de la información en cada momento y en relación al resto de necesidades de negocio.

valuación-de-riesgos-de-seguridad-de-la-información

Uno de los resultados que más sorprende a las organizaciones cuando desarrolla las primeras evaluaciones es el comprobar que existen recursos excesivos dedicados a la protección de algunos activos de menor importancia o controles que, aunque una vez lo fueron, ya no son relevantes para la organización y mantienen un consumo y dedicación de recursos a todas luces evitables, y que proporciona una fuente potencial de ahorro.

Para que una organización desarrolle su propia metodología y contemple todos los aspectos relevantes en esta tarea, existe el estándar internacional ISO/IEC 31000 como ayuda más directa para acometer esta labor, y que proporciona una orientación sobre las actividades para la gestión, incluido el asesoramiento sobre la evaluación de riesgos, tratamiento de riesgos, aceptación del riesgo, la comunicación de riesgos, control de riesgos y revisión de los riesgos.

Es pertinente aclarar que ISO/IEC 31000, así como en el caso de otros documentos relacionados con metodologías para la evaluación del riesgo en las organizaciones (Magerit, ISO 27005, etc.), sirven como documentos de ayuda para implementar el proceso de evaluación y tratamiento de riesgos de la seguridad de la información. Por tanto, cada organización debe definir y formalizar la metodología que mejor se adapte a sus necesidades y recursos.

En este sentido, suele producirse el error frecuente de introducir, en la fase de implantación, metodologías más complejas y con un desarrollo más laborioso de lo que la organización puede realmente mantener, condenando la posibilidad del mantenimiento a corto-medio plazo (menos de un año en muchos casos).

Mantenimiento y mejora de la efectividad del SGSI

Una organización necesita mantener y mejorar el SGSI a través de la supervisión y la evaluación de su rendimiento y en consideración con la política de organización y los objetivos establecidos.

De forma similar a otras actividades relevantes para la organización (como las de planificación, económicas o financieras), se debe informar de los resultados de la gestión de la seguridad a la alta dirección implicada en el SGSI para su revisión. Esta revisión del SGSI permite aportar evidencias del desarrollo de las acciones de validación, de verificación y de trazabilidad de aquellas acciones correctivas, preventivas y de mejora, y en base a los registros y monitorización de las diversas áreas consideradas en el alcance de interés dentro del SGSI, incluyendo el seguimiento en el desempeño y efectividad de los controles de seguridad de la información que se encuentren en activo.

Factores de éxito

Existe un gran número de factores que deben ser considerados como fundamentales para una adecuada implementación de un SGSI y permitir a una organización cumplir con sus objetivos de negocio.

A continuación, relacionamos algunos de los factores críticos de éxito más importantes a considerar:

  • Obtener un entendimiento del contexto de la organización y de los elementos que pueden afectar a la seguridad de la información.
  • Obtener todas las partes interesadas y los requisitos de las mismas respecto a la seguridad de la información.
  • Obtener la legislación aplicable y los requisitos en materia de seguridad de la información.
  • Política de seguridad, objetivos y actividades del SGSI en armonía con los correspondientes para el negocio.
  • El enfoque y marco utilizados para el diseño, ejecución, supervisión, mantenimiento y mejora de la seguridad de la información deber ser consistente con la cultura organizacional.
  • El apoyo y compromiso visible y decidido de todos los niveles de gestión con la Dirección al frente.
  • Obtener el conocimiento de las necesidades de protección de los activos de información en base a la aplicación de la gestión de riesgos de seguridad.
  • Disponer de un programa eficaz en sensibilización, formación y educación en seguridad de la información para todos los empleados, así como otras partes que guardan relación con la organización, con el objetivo de garantizar el cumplimiento de las obligaciones en materia de seguridad de la información y recogidas en las políticas de seguridad de la información, normas, etc., y que anime a actuar en consecuencia.
  • Procesos eficientes para la comunicación y gestión de incidentes de seguridad.
  • Una estrategia efectiva para la continuidad del negocio.
  • Un sistema de medición establecido para evaluar el desempeño en la gestión de seguridad de la información y que habilite una retroalimentación de sugerencias para la mejora.

gestión-de-incidentes-de-seguridad

Un SGSI aumenta la probabilidad de que una organización logre la consecución de los factores críticos de éxito necesarios para proteger sus activos de información.

Conoce nuestro Máster en Dirección de Sistemas y Tecnologías de la Información

Artículo Anterior Ciclo de vida industrial: Etapas de la empresa
Artículo Siguiente ¿Qué es la investigación de mercado?
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Martes, 03 Agosto 2021
            

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Masterclass Tecnología

Tecnología

¿Qué es IOT

Tecnología

Seguridad en IOT

Tecnología

Caso Práctico - Protocolo MQTT

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Noticias más populares

CEUPE Ecuador y el CIEEPI firman convenio de colaboración académica
CEUPE – Ecuador firma el pasado 26 de mayo de 2021 en Quito, Ecuador, el convenio de cooperación académica interinstitucional con el CIEEPI - Colegio de Ingenieros Eléctricos y Electrónicos de Pichinc...
Objetivos y beneficios de la externalización logística
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...
Métodos de análisis de la inversión
El análisis de la inversión forma parte de la teoría de la inversión. La inversión como proceso de aumento del capital del inversor requiere comprender y evaluar la viabilidad de invertir en un proyec...
5 pasos para iniciar en el marketing de afiliación
El marketing de afiliación permite ganar dinero en línea, incluso si no se cuenta con un blog o un sitio web. Después de unos simples pasos se puede comenzar a trabajar e inmediatamente ganar las prim...

EMPRESAS

9 Directrices para construir la estructura organizativa de la empresa✅
El desarrollo de una estructura organizativa eficaz de la empresa es un proceso lógico y al mismo tiempo creativo. Eso es, su creación requiere un enf...
¿Qué es una estrategia de desarrollo empresarial?🤔
La estrategia de desarrollo empresarial es más que un modelo de negocio de éxito que te permite operar de forma estable y sobrevivir en tu nicho. Una ...
Etapas de la negociación 🤝
La negociación es principalmente es un proceso de intercambio de opiniones de entre dos o más personas, que se lleva a cobo con el fin de lograr un re...

MARKETING

Principales funciones del marketing📈
Las funciones del marketing son definidas por los especialistas como el proceso científico de estudio del mercado y de las herramientas que pueden inf...
Proceso para la fijación de precios💲
En un sistema de mercado libre, es muy importante determinar correctamente el coste de los bienes o servicios, que en la mayoría de los casos no está ...

CIENCIAS

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

¿Qué es IOT

Tecnología

Seguridad en IOT

Tecnología

Caso Práctico - Protocolo MQTT

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Conferencias más vistas

Thumbail
Thumbail
Thumbail
Thumbail
Thumbail

LOGÍSTICA

RRHH

TURISMO

PSICOLOGÍA

TECNOLOGÍA

FINANZAS