Implementar un sistema efectivo de Gestión de Seguridad de la Información es una tarea tan ardua como fundamental. Administrar la información al interior de su organización no sólo le permite asegurar la confidencialidad, integridad y disponibilidad de los activos de información, sino que también le garantiza minimizar los riesgos de seguridad de la información.
La gestión adecuada de un Sistema de Gestión de Seguridad de la Información (SGSI) requiere una evaluación metódica de los riesgos identificados. Este análisis es imprescindible para determinar los controles adecuados que permitan aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Para realizar esta evaluación es importante analizar los siguientes cuatro aspectos:
Análisis de las amenazas a los activos de información
Las amenazas son agentes (elementos o acciones), capaces de atentar contra la seguridad de la información y, como consecuencia de ello, causar pérdidas o daños a los activos de una empresa.
Estas amenazas surgen a partir de la existencia de vulnerabilidades, es decir que una amenaza sólo puede existir si existe una vulnerabilidad que pueda ser aprovechada, e independientemente de que se comprometa o no la seguridad de un sistema de información.
Es importante analizar tanto las amenazas intencionales como no intencionales.
- Amenazas Intencionales: son aquellas en las que deliberadamente se intenta producir un daño (por ejemplo el robo de información aplicando la técnica de trashing).
- Amenazas no intencionales: en las cuales se producen acciones u omisiones de acciones que si bien no buscan explotar una vulnerabilidad, ponen en riesgo los activos de información y pueden producir un daño (por ejemplo las amenazas relacionadas con fenómenos naturales).
La presencia de una amenaza es una advertencia de que puede ser inminente el daño a algún activo de la información, o bien es un indicador de que el daño se está produciendo o ya se ha producido. Por ello, siempre debe ser reportada como un incidente de seguridad de la información.
Este análisis se debe realizar periódicamente debido a que los activos están constantemente sometidos a amenazas que pueden poner en riesgo la integridad, confidencialidad y disponibilidad de la información. Asimismo, debe tener en cuenta los principios del Sistema Gestión de Seguridad de Información (SGSI).
Los factores de vulnerabilidad ante la posibilidad de que una amenaza se materialice
Los factores de vulnerabilidad son puntos de vista desde los cuales se analizan las amenazas. Están en constante interacción y son dinámicos debido a que la realidad en la que se presentan lo es.
Se deben tener en cuenta principalmente, los siguientes:
- Entorno en el que lleva a cabo la actividad de la empresa.
- Cambios inesperados en políticas y regulaciones.
- Cultura propia de la institución.
- Sector de actividad (si se utiliza o no de forma intensiva la tecnología).
El impacto potencial de cualquier incidente de seguridad de la información sobre los activos de información
Un incidente es un evento en la seguridad de la información que es indeseado e inesperado, representa una probabilidad significativa de comprometer las operaciones y amenazar la seguridad de la información.
Para definir la respuesta indicada para cada incidente se deben priorizar de acuerdo con su impacto y urgencia. El impacto es el daño causado al negocio (en términos económicos, imagen, etc.) y la urgencia es la rapidez con la cual la organización necesita corregir el incidente.
Esta priorización también debe tener en cuenta:
- El sistema, servicio o usuario afectado.
- La evaluación realizada, tanto por el usuario como por el equipo de gestión, debe revisar la prioridad.
- Los parámetros de calidad tanto en su resolución como en su clasificación.
Identificar y analizar riesgos asociados a la pérdida de confidencialidad, integridad y disponibilidad e identificar al propietario de esos riesgos
De acuerdo a la norma ISO 27001, la Seguridad de la Información tiene tres dimensiones fundamentales:
- Confidencialidad: se refiere al acceso a la información, únicamente, por parte de quienes estén autorizados. Los dos medios que se emplean para asegurar esta dimensión son la verificación y la autorización.
- Disponibilidad: se refiere al acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. Se debe evitar la falta de garantías de la prestación del servicio, tanto por parte del prestador del servicio como del solicitante o tomador (controles de identificación, congestión de líneas). Igualmente, se debe evitar la pérdida de servicios de los recursos de información por causa de catástrofes naturales o por fallas de equipos, acción de virus, etc.
- Integridad: significa un mantenimiento de la exactitud y completitud de la información y sus métodos de proceso, con el objetivo de prevenir modificaciones no autorizadas de la información. Es importante considerar tanto la integridad de los datos (volumen de la información) como la integridad del origen (fuente de datos).
La evaluación de riesgos permite que el gasto en controles de seguridad pertinentes sea proporcional al impacto calculado para el negocio, el cual se determina a partir de la percepción de probabilidad de que el riesgo se materialice. En Pensemos, sabemos que la implementación de un Sistema de Seguridad de la Información es un proceso es fundamental que le permite asegurar la confidencialidad, integridad y disponibilidad de los activos de información dentro de su organización y por ello hemos creado nuestro Enterprise Risk Management software. Recuerde que puede suscribirse al blog de Pensemos para conocer más sobre la Gestión de Seguridad de la Información. También puede contactarnos si desea conocer más de nuestros servicios. Cuéntenos sus opiniones, estaremos atentos a responderlas.
