Compártelo
Gestión de los riesgos en seguridad de la información
TECNOLOGÍA

Gestión de los riesgos en seguridad de la información

Gestionar los riesgos de seguridad de la información requiere de un adecuado método de evaluación y tratamiento de los riesgos.

Gestión de los riesgos en seguridad de la información

La metodología empleada puede incluir una estimación de los costos y beneficios, los requisitos legales, aspectos sociales, económicos y ambientales, las preocupaciones de las partes interesadas en la organización, las prioridades y otras variables adicionales, según sea necesario y de interés en cada caso particular.

Los resultados de la evaluación de riesgos de seguridad de la información proporcionan una importante ayuda para determinar las decisiones de gestión más adecuadas en el tratamiento, en el uso de recursos y en las prioridades que son recomendables aplicar para la gestión óptima de los riesgos de seguridad de la información en cada momento y en relación al resto de necesidades de negocio.

valuación-de-riesgos-de-seguridad-de-la-información

Uno de los resultados que más sorprende a las organizaciones cuando desarrolla las primeras evaluaciones es el comprobar que existen recursos excesivos dedicados a la protección de algunos activos de menor importancia o controles que, aunque una vez lo fueron, ya no son relevantes para la organización y mantienen un consumo y dedicación de recursos a todas luces evitables, y que proporciona una fuente potencial de ahorro.

Para que una organización desarrolle su propia metodología y contemple todos los aspectos relevantes en esta tarea, existe el estándar internacional ISO/IEC 31000 como ayuda más directa para acometer esta labor, y que proporciona una orientación sobre las actividades para la gestión, incluido el asesoramiento sobre la evaluación de riesgos, tratamiento de riesgos, aceptación del riesgo, la comunicación de riesgos, control de riesgos y revisión de los riesgos.

Es pertinente aclarar que ISO/IEC 31000, así como en el caso de otros documentos relacionados con metodologías para la evaluación del riesgo en las organizaciones (Magerit, ISO 27005, etc.), sirven como documentos de ayuda para implementar el proceso de evaluación y tratamiento de riesgos de la seguridad de la información. Por tanto, cada organización debe definir y formalizar la metodología que mejor se adapte a sus necesidades y recursos.

En este sentido, suele producirse el error frecuente de introducir, en la fase de implantación, metodologías más complejas y con un desarrollo más laborioso de lo que la organización puede realmente mantener, condenando la posibilidad del mantenimiento a corto-medio plazo (menos de un año en muchos casos).

Mantenimiento y mejora de la efectividad del SGSI

Una organización necesita mantener y mejorar el SGSI a través de la supervisión y la evaluación de su rendimiento y en consideración con la política de organización y los objetivos establecidos.

De forma similar a otras actividades relevantes para la organización (como las de planificación, económicas o financieras), se debe informar de los resultados de la gestión de la seguridad a la alta dirección implicada en el SGSI para su revisión. Esta revisión del SGSI permite aportar evidencias del desarrollo de las acciones de validación, de verificación y de trazabilidad de aquellas acciones correctivas, preventivas y de mejora, y en base a los registros y monitorización de las diversas áreas consideradas en el alcance de interés dentro del SGSI, incluyendo el seguimiento en el desempeño y efectividad de los controles de seguridad de la información que se encuentren en activo.

Factores de éxito

Existe un gran número de factores que deben ser considerados como fundamentales para una adecuada implementación de un SGSI y permitir a una organización cumplir con sus objetivos de negocio.

A continuación, relacionamos algunos de los factores críticos de éxito más importantes a considerar:

  • Obtener un entendimiento del contexto de la organización y de los elementos que pueden afectar a la seguridad de la información.
  • Obtener todas las partes interesadas y los requisitos de las mismas respecto a la seguridad de la información.
  • Obtener la legislación aplicable y los requisitos en materia de seguridad de la información.
  • Política de seguridad, objetivos y actividades del SGSI en armonía con los correspondientes para el negocio.
  • El enfoque y marco utilizados para el diseño, ejecución, supervisión, mantenimiento y mejora de la seguridad de la información deber ser consistente con la cultura organizacional.
  • El apoyo y compromiso visible y decidido de todos los niveles de gestión con la Dirección al frente.
  • Obtener el conocimiento de las necesidades de protección de los activos de información en base a la aplicación de la gestión de riesgos de seguridad.
  • Disponer de un programa eficaz en sensibilización, formación y educación en seguridad de la información para todos los empleados, así como otras partes que guardan relación con la organización, con el objetivo de garantizar el cumplimiento de las obligaciones en materia de seguridad de la información y recogidas en las políticas de seguridad de la información, normas, etc., y que anime a actuar en consecuencia.
  • Procesos eficientes para la comunicación y gestión de incidentes de seguridad.
  • Una estrategia efectiva para la continuidad del negocio.
  • Un sistema de medición establecido para evaluar el desempeño en la gestión de seguridad de la información y que habilite una retroalimentación de sugerencias para la mejora.

gestión-de-incidentes-de-seguridad

Un SGSI aumenta la probabilidad de que una organización logre la consecución de los factores críticos de éxito necesarios para proteger sus activos de información.

Conoce nuestro Máster en Dirección de Sistemas y Tecnologías de la Información

Máster en
Inteligencia Artificial

TECNOLOGÍA

Modalidad
Modalidad
ONLINE
Duración
Duración
12 meses
Evaluación
Evaluación
Continua con casos prácticos
Financiación
Financiación
Pago en cuotas sin intereses
Clasificación de decisiones de gestión
La gerencia y su actual encrucijada
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Lunes, 27 Mayo 2024

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

SHODAN

Tecnología

WAF

Tecnología

Objetivos de la inteligencia artificial

Noticias más populares

Cada año, el Ranking Top100 Líderes Innovadores destaca a cien personalidades que han demostrado un compromiso decidido con la innovación en su trayectoria profesional, personal y empresarial. Fundado...
En el mundo actual, la educación en línea ha experimentado un crecimiento significativo, y esto ha llevado a un aumento en la demanda de programas educativos en línea, especialmente en el ámbito de lo...
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...
El análisis de la inversión forma parte de la teoría de la inversión. La inversión como proceso de aumento del capital del inversor requiere comprender y evaluar la viabilidad de invertir en un proyec...

EMPRESAS

Se entiende por competencia desleal al conjunto de tácticas comerciales que, de manera ilícita o poco ética, tienen como objetivo obtener una posición...
La participación ciudadana es un componente esencial en el funcionamiento de las democracias modernas. A través de ella, los ciudadanos tienen la opor...
Es dentro de la fase de supervisión donde nos aseguramos que el proyecto avance conforme a lo planificado. ¿Qué es la supervisión de un proyecto? La s...
Decimos que un negocio es escalable cuando este puede crecer y aumentar sus ingresos sin que los costos asociados crezcan en la misma proporción. Esto...

MARKETING

Cuando pensamos en un producto, a menudo visualizamos su empaque antes que el propio artículo. ¿Por qué? Porque el diseño del empaque es mucho más que...
Como su propio nombre lo indica, el geotargeting utiliza datos de localización para segmentar audiencias en función de su posición geográfica. Definic...

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

SHODAN

Tecnología

WAF

Tecnología

Objetivos de la inteligencia artificial