TECNOLOGÍA
Compártelo
Gestión de los riesgos en seguridad de la información

Gestión de los riesgos en seguridad de la información

Gestionar los riesgos de seguridad de la información requiere de un adecuado método de evaluación y tratamiento de los riesgos.

Gestión de los riesgos en seguridad de la información

La metodología empleada puede incluir una estimación de los costos y beneficios, los requisitos legales, aspectos sociales, económicos y ambientales, las preocupaciones de las partes interesadas en la organización, las prioridades y otras variables adicionales, según sea necesario y de interés en cada caso particular.

Los resultados de la evaluación de riesgos de seguridad de la información proporcionan una importante ayuda para determinar las decisiones de gestión más adecuadas en el tratamiento, en el uso de recursos y en las prioridades que son recomendables aplicar para la gestión óptima de los riesgos de seguridad de la información en cada momento y en relación al resto de necesidades de negocio.

valuación-de-riesgos-de-seguridad-de-la-información

Uno de los resultados que más sorprende a las organizaciones cuando desarrolla las primeras evaluaciones es el comprobar que existen recursos excesivos dedicados a la protección de algunos activos de menor importancia o controles que, aunque una vez lo fueron, ya no son relevantes para la organización y mantienen un consumo y dedicación de recursos a todas luces evitables, y que proporciona una fuente potencial de ahorro.

Para que una organización desarrolle su propia metodología y contemple todos los aspectos relevantes en esta tarea, existe el estándar internacional ISO/IEC 31000 como ayuda más directa para acometer esta labor, y que proporciona una orientación sobre las actividades para la gestión, incluido el asesoramiento sobre la evaluación de riesgos, tratamiento de riesgos, aceptación del riesgo, la comunicación de riesgos, control de riesgos y revisión de los riesgos.

Es pertinente aclarar que ISO/IEC 31000, así como en el caso de otros documentos relacionados con metodologías para la evaluación del riesgo en las organizaciones (Magerit, ISO 27005, etc.), sirven como documentos de ayuda para implementar el proceso de evaluación y tratamiento de riesgos de la seguridad de la información. Por tanto, cada organización debe definir y formalizar la metodología que mejor se adapte a sus necesidades y recursos.

En este sentido, suele producirse el error frecuente de introducir, en la fase de implantación, metodologías más complejas y con un desarrollo más laborioso de lo que la organización puede realmente mantener, condenando la posibilidad del mantenimiento a corto-medio plazo (menos de un año en muchos casos).

Mantenimiento y mejora de la efectividad del SGSI

Una organización necesita mantener y mejorar el SGSI a través de la supervisión y la evaluación de su rendimiento y en consideración con la política de organización y los objetivos establecidos.

De forma similar a otras actividades relevantes para la organización (como las de planificación, económicas o financieras), se debe informar de los resultados de la gestión de la seguridad a la alta dirección implicada en el SGSI para su revisión. Esta revisión del SGSI permite aportar evidencias del desarrollo de las acciones de validación, de verificación y de trazabilidad de aquellas acciones correctivas, preventivas y de mejora, y en base a los registros y monitorización de las diversas áreas consideradas en el alcance de interés dentro del SGSI, incluyendo el seguimiento en el desempeño y efectividad de los controles de seguridad de la información que se encuentren en activo.

Factores de éxito

Existe un gran número de factores que deben ser considerados como fundamentales para una adecuada implementación de un SGSI y permitir a una organización cumplir con sus objetivos de negocio.

A continuación, relacionamos algunos de los factores críticos de éxito más importantes a considerar:

  • Obtener un entendimiento del contexto de la organización y de los elementos que pueden afectar a la seguridad de la información.
  • Obtener todas las partes interesadas y los requisitos de las mismas respecto a la seguridad de la información.
  • Obtener la legislación aplicable y los requisitos en materia de seguridad de la información.
  • Política de seguridad, objetivos y actividades del SGSI en armonía con los correspondientes para el negocio.
  • El enfoque y marco utilizados para el diseño, ejecución, supervisión, mantenimiento y mejora de la seguridad de la información deber ser consistente con la cultura organizacional.
  • El apoyo y compromiso visible y decidido de todos los niveles de gestión con la Dirección al frente.
  • Obtener el conocimiento de las necesidades de protección de los activos de información en base a la aplicación de la gestión de riesgos de seguridad.
  • Disponer de un programa eficaz en sensibilización, formación y educación en seguridad de la información para todos los empleados, así como otras partes que guardan relación con la organización, con el objetivo de garantizar el cumplimiento de las obligaciones en materia de seguridad de la información y recogidas en las políticas de seguridad de la información, normas, etc., y que anime a actuar en consecuencia.
  • Procesos eficientes para la comunicación y gestión de incidentes de seguridad.
  • Una estrategia efectiva para la continuidad del negocio.
  • Un sistema de medición establecido para evaluar el desempeño en la gestión de seguridad de la información y que habilite una retroalimentación de sugerencias para la mejora.

gestión-de-incidentes-de-seguridad

Un SGSI aumenta la probabilidad de que una organización logre la consecución de los factores críticos de éxito necesarios para proteger sus activos de información.

Conoce nuestro Máster en Dirección de Sistemas y Tecnologías de la Información

Artículo Anterior Ciclo de vida industrial: Etapas de la empresa
Artículo Siguiente ¿Qué es la investigación de mercado?
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Lunes, 12 Abril 2021
            

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Masterclass Tecnología

Tecnología

Cloud computing

Tecnología

Arquitectura de la Información

Tecnología

Compras electronicas

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Noticias más populares

¿Qué es la Gestión de proyectos? 📝
Un proyecto es un emprendimiento de duración limitada (referido a una actividad) que tiene como objetivo crear un producto, bien o servicio único, o producir un resultado innovador. ...
Desafíos de la seguridad del IoT🔐
Es preciso que antes de introducir nuevos elementos del IoT en una red, las empresas se aseguren de que encajan en una estrategia de seguridad integral. Es importante recordar que es imposible asegura...
¿Qué es la vigilancia medioambiental?♻️
El concepto de 👉vigilancia medioambiental👈 es polifacético e involucra varios niveles. De forma general, se trata de observaciones sistemáticamente repetidas a lo largo del tiempo de diversos elemento...
¿Qué es el aprendizaje colaborativo?📚
El ▷aprendizaje colaborativo◁ es un método de enseñanza con muchas variantes. Sin embargo, independientemente del enfoque específico, hay varias características a las que corresponde un aprendizaje co...

EMPRESAS

Proceso empresarial centrado en el cliente👩
La clave principal para la eficacia del sistema de procesos empresariales y su mejora es la comprensión por parte de los empleados de que cualquier tr...
¿Qué es la Gestión de proyectos? 📝
Un proyecto es un emprendimiento de duración limitada (referido a una actividad) que tiene como objetivo crear un producto, bien o servicio único, o p...
¿Qué tan importante es la innovación empresarial?💼
La 👉innovación supone una novedad en una organización: conocimientos nuevos, ideas nuevas. Y, sobre todo, son nuevos productos y servicios o nuevos pr...
Análisis de la función directiva💼
El 👉análisis de las funciones de gestión se basa en el análisis de su eficacia, con lo que se puede diseñar la estructura de gestión más eficaz. ...

MARKETING

Objetivos de planificación en marketing🛒
Uno de los ᐉprincipales objetivos del marketing es el establecimiento de la máxima coherencia y proporcionalidad posibles en las actividades de la emp...
Tipos de programas de fidelización 🛍️
Un programa de fidelización es un sistema eficaz para recompensar a los clientes activos. Permite a las empresas retener a los clientes o usuarios fie...

CIENCIAS

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Cloud computing

Tecnología

Arquitectura de la Información

Tecnología

Compras electronicas

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Conferencias más vistas

Thumbail
Thumbail
Thumbail
Thumbail
Thumbail

LOGÍSTICA

RRHH

TURISMO

PSICOLOGÍA

TECNOLOGÍA

FINANZAS