El análisis de riesgos, piedra angular en la gestión de la seguridad de la información | ||||
Por: Luis Escobar y Mar Sánchez. BT España Una buena gestión de la seguridad de la información ha de surgir necesariamente de un punto de partida que dé una visión de las necesidades reales de la compañía. De esta forma, nos aseguraremos de que la inversión realizada es razonable, y que además está encaminada a dar respuesta a las exigencias de nuestro negocio, al entorno en que la empresa opera, y a compensar las posibles debilidades de nuestros sistemas o procesos. Para determinar nuestras necesidades en este ámbito, es esencial utilizar la técnica de análisis de riesgos. |
||||
Mar Sánchez caro
|
||||
En conclusión, por tanto, podemos afirmar que cualquier metodología de análisis de riesgos conlleva de forma implícita una identificación / inventario de activos, una reflexión sobre el posible catálogo de amenazas que pueden afectar a los mismos, la medición de su impacto y probabilidad de ocurrencia, así como una recomendación final sobre las salvaguardas más apropiadas para minimizar el riesgo. No obstante, existen otras consideraciones a tener en cuenta, ya que la elección de la metodología no es, en absoluto, garantía de éxito. En primer lugar, es de vital importancia que en el momento de realizar el catálogo de amenazas, se cuente con un grupo de personas representativo. Esto significa que dicho catálogo no puede ser realizado únicamente por el Responsable de Seguridad, sino que es necesaria la colaboración de otras personas, desde los técnicos que administran los sistemas de información, y se enfrentan a los problemas del día a día, hasta los que conocen el negocio, diseñan la estrategia y tienen una visión de lo que es importante para la compañía y aporta valor. Por ello, es altamente recomendable crear un grupo de trabajo en el que un equipo de personas no necesariamente muy numeroso pero sí suficientemente heterogéneo aporte ideas sobre posibles amenazas que puedan afectar a la seguridad de los activos de la compañía, y que lo hagan con una visión holística, no centrada en los propios sistemas internos, sino también considerando qué otras situaciones pueden poner en peligro la operación. Al igual que es importante conocer qué activos debemos proteger, también lo es saber cuáles son las dependencias establecidas, por ejemplo qué ocurriría si un determinado proveedor no está en disposición de continuar dándonos servicio, debido a cualquier circunstancia. Por el mismo motivo, es importante conocer el negocio de nuestros clientes, y prender en profundidad cuán crítico para ellos representa el servicio que les ofrecemos. De poco servirá que tengamos unos sistemas de información bien protegidos ante una serie de amenazas, si en el momento crítico no somos capaces de continuar dando servicio a nuestros clientes, debido a que dimos más prioridad a procesos internos que, siendo necesarios, no aportan tanto valor. Al igual que al establecer nuestro análisis de riesgos hemos de tener en cuenta las dependencias con respecto a nuestros proveedores, hemos de considerar también que el servicio que damos a nuestros clientes puede ser crítico para ellos y, al menos, habremos de comprender su negocio con el fin de establecer prioridades convenientemente. Por tanto, como conclusión podemos afirmar que el análisis de riesgos es el fundamento en la gestión de la seguridad, pues determina en gran medida hacia dónde se encaminarán nuestros esfuerzos, y que para llevarlo a cabo es necesario utilizar una metodología que nos resulte adecuada y, a ser posible, no demasiado compleja, y que para su desarrollo es de vital importancia considerar, además de nuestros sistemas de información, las posibles dependencias que se establecen con terceros. |
• Tendrás acceso gratuito a todos los eventos organizados por ISMS Forum Spain, incluyendo las dos Jornadas Internacionales de Seguridad de la Información anuales.
• Contarás con descuentos especiales para matricularte en las actividades formativas organizadas por ISMS Forum Spain, como cursos o seminarios.
• Accederás a descuentos exclusivos para socios de ISMS Forum en distintos eventos y cursos organizados por colaboradores de la Asociación.
• Podrás darte de alta en el Registro de Profesionales Certificados de España y poner a disposición del mercado, si lo deseas, tus datos de contacto. El único requisito es poseer una o varias certificaciones (CCSK, CDPP, CIMS, CISA, CISSP, L.A. ISO 27001, etc.).
• Recibirás la newsletter de la Asociación y tendrás acceso a la descarga gratuita de estudios y publicaciones fruto de la labor de los Grupos de Trabajo de ISMS Forum Spain u otros de especial interés para el sector.
• Gracias al networking podrías incrementar tu red de contactos e intercambiar experiencias con otros profesionales de la Seguridad de la Información que desarrollan su labor en empresas, administraciones públicas, universidades y centros de investigación, otras asociaciones y organismos de todos los sectores.
• Podrás formar parte de los grupos de trabajo de las distintas iniciativas de ISMS Forum (Data Privacy Institute (DPI), Cloud Security Alliance España (CSA-ES), Cyber Security Center (CSC), cursos de formación, etc.), y participar directamente en el desarrollo de sus actividades.
• Podrán hacer visible su compromiso con la Seguridad de la Información y materializar la Responsabilidad Social Corporativa.
• Tendrán la capacidad para nombrar a ocho trabajadores de la empresa como socios de pleno derecho.
• Si eres microempresa, de menos de 10 trabajadores, podrás nombrar hasta dos trabajadores como socios de pleno derecho.
Si te haces socio de ISMS Forum, formarás parte de la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.