Implementar un sistema efectivo de Gestión de Seguridad de la Información es una tarea tan ardua como fundamental. Administrar la información al interior de su organización no sólo le permite asegurar la confidencialidad, integridad y disponibilidad de los activos de información, sino que también le garantiza minimizar los riesgos de seguridad de la información.
La gestión adecuada de un Sistema de Gestión de Seguridad de la Información (SGSI) requiere una evaluación metódica de los riesgos identificados. Este análisis es imprescindible para determinar los controles adecuados que permitan aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Para realizar esta evaluación es importante analizar los siguientes cuatro aspectos:
Las amenazas son agentes (elementos o acciones), capaces de atentar contra la seguridad de la información y, como consecuencia de ello, causar pérdidas o daños a los activos de una empresa.
Estas amenazas surgen a partir de la existencia de vulnerabilidades, es decir que una amenaza sólo puede existir si existe una vulnerabilidad que pueda ser aprovechada, e independientemente de que se comprometa o no la seguridad de un sistema de información.
Es importante analizar tanto las amenazas intencionales como no intencionales.
La presencia de una amenaza es una advertencia de que puede ser inminente el daño a algún activo de la información, o bien es un indicador de que el daño se está produciendo o ya se ha producido. Por ello, siempre debe ser reportada como un incidente de seguridad de la información.
Este análisis se debe realizar periódicamente debido a que los activos están constantemente sometidos a amenazas que pueden poner en riesgo la integridad, confidencialidad y disponibilidad de la información. Asimismo, debe tener en cuenta los principios del Sistema Gestión de Seguridad de Información (SGSI).
Los factores de vulnerabilidad son puntos de vista desde los cuales se analizan las amenazas. Están en constante interacción y son dinámicos debido a que la realidad en la que se presentan lo es.
Se deben tener en cuenta principalmente, los siguientes:
Un incidente es un evento en la seguridad de la información que es indeseado e inesperado, representa una probabilidad significativa de comprometer las operaciones y amenazar la seguridad de la información.
Para definir la respuesta indicada para cada incidente se deben priorizar de acuerdo con su impacto y urgencia. El impacto es el daño causado al negocio (en términos económicos, imagen, etc.) y la urgencia es la rapidez con la cual la organización necesita corregir el incidente.
Esta priorización también debe tener en cuenta:
De acuerdo a la norma ISO 27001, la Seguridad de la Información tiene tres dimensiones fundamentales:
La evaluación de riesgos permite que el gasto en controles de seguridad pertinentes sea proporcional al impacto calculado para el negocio, el cual se determina a partir de la percepción de probabilidad de que el riesgo se materialice. En Pensemos, sabemos que la implementación de un Sistema de Seguridad de la Información es un proceso es fundamental que le permite asegurar la confidencialidad, integridad y disponibilidad de los activos de información dentro de su organización y por ello hemos creado nuestro Enterprise Risk Management software. Recuerde que puede suscribirse al blog de Pensemos para conocer más sobre la Gestión de Seguridad de la Información. También puede contactarnos si desea conocer más de nuestros servicios. Cuéntenos sus opiniones, estaremos atentos a responderlas.