| 25 años generando CONFIANZA
Automatizaciones clave para la gestión de SI
La seguridad de la información se ha vuelto un tema tan vasto y con tantos aspectos por cubrir, que se hace necesario echar mano de todas las herramientas que nos faciliten su gestión. Las automatizaciones son muy útiles al respecto, pues hacen más efectivas las estrategias de defensa de la información, permiten responder ágilmente a los incidentes, nos recuerdan los compromisos del sistema de gestión, sirven para comunicar rápidamente las situaciones mientras ocurren, ayudan a medir los niveles de riesgos, coadyuvan a asignar responsabilidades, son un apoyo a la hora de cumplir con los SLA (acuerdos de niveles de servicios), entre otros.
La automatización integral es idónea para lograr dar respuesta a las soluciones veloces que esperan los consumidores. En cuanto a los trabajadores, les disminuye la carga laboral para que puedan enfocarse en asuntos que agreguen valor. Automatizar es una estrategia que nos lleva a la eficiencia.
Los gerentes de tecnologías de la información (TI) son los más versados en las automatizaciones y pueden ayudar a sus compañeros a comprender cómo sacar el máximo provecho de estas. Para ello es necesario que en la organización tengan en cuenta algunos conceptos fundamentales. Así se obtendrá la productividad deseada y se extraerá el máximo valor comercial de la automatización.
¿Automatizaciones para qué?
Puede que todos concibamos la nube como el lugar en internet donde encuentra la información, pero detrás de ese lugar hay activos físicos que debemos proteger contra la divulgación, transferencia, modificación o destrucción. Es decir, la seguridad de la información no solo atañe a los datos y a la interpretación de estos, sino también a los medios con que gestionamos el ciclo de vida de la información (creación, transferencia, almacenamiento, explotación y disposición final).
De acuerdo con la norma ISO/IEC 27005, la seguridad de la información es la protección contra la divulgación, transferencia y modificación no autorizada, ya sea accidental o intencional. En las organizaciones tenemos el objetivo de preservar la integridad, disponibilidad y confidencialidad de la información, puesto que los riesgos acechan constantemente. Según ISO/IEC 27000, el riesgo es el efecto de la incertidumbre sobre los objetivos. La palabra clave de esa definición es la incertidumbre, pues ante ella no contamos con información ni conocimientos sobre qué incidentes podrían ocurrir, qué consecuencias acarrearían esos incidentes y qué probabilidad hay de que sucedan. La incertidumbre se trata no saber dónde estamos y cómo lograremos los objetivos, si es que hay beneficios o amenazas en el horizonte. Para saber con qué nos encontraremos nos podemos servir de metodologías como las automatizaciones.
Componentes clave de las automatizaciones
- Requisitos legales y reglamentarios relativos a la seguridad de la información.
- Políticas generales y específicas para el trato con proveedores.
- Política de uso adecuado de los activos.
- Procedimientos de trabajo.
- Planes de tratamientos de riesgos.
- La gestión del cambio.
- Declaración de aplicabilidad de normas ISO.
- Compliance, en general.
- Seguridad de la información durante la continuidad del negocio.
- Dueños de riesgos.
- Activos de mayor valor y estrategias de defensa sobre esos activos, entre otros.
Riesgos
Los riesgos de seguridad de la información están asociados a que las amenazas exploten las vulnerabilidades de un activo o grupo de activos, y que eso cause daño a la organización. La mejor forma de precisar nuestra situación es la apreciación de riesgos, que permite saber si estamos poco, muy o medianamente expuestos. En este sentido, este es uno de los primeros elementos que necesitaremos automatizar y podemos clasificarlo como:
- Riesgos operativos: tienen que ver con las bases de datos, infraestructura, los diferentes dispositivos con los que interactúa un usuario, las aplicaciones, los sistemas con los que se procesa la información, los resultados de la organización sobre ventas, clientes, desarrollos del producto. En síntesis, la información que la empresa necesita para funcionar (documentos en físico o digitales), entre otros.
- Riesgos estratégicos: se refieren al contexto, requisitos de las partes interesadas (que nos permiten determinar riesgos y oportunidades para conseguir los resultados previstos, reducir los efectos indeseados para la organización y lograr la mejora continua).
Teniendo todo esto claro, y gracias a las automatizaciones, podemos precisar acciones de tratamientos de riesgos, que consisten en:
- Aceptar, transferir, mitigar o eliminar.
Las acciones requieren ser integradas a los procesos del SGSI, además debemos evaluar la eficacia de tales acciones. En todo este proceso la herramienta de automatización arrojará luces y nos hará el trabajo más llevadero.
Para finalizar, enfatizaremos que la apreciación de riesgos no se hace una sola vez en la vida, hay que llevarla a cabo cada vez que haya cambios en la organización, cuando haya incorporaciones de nuevos activos o exista algún incidente de seguridad de la información.
Software ERM ISOTools
ISOTools ERM es el software clave para la gestión integral de los riesgos corporativos de la organización. Gracias la automatización de procesos en la gestión de riesgos incrementará la eficiencia del área de riesgos, llevar una gestión integrada de todos los riesgos que pueden amenazar a la organización, identificarlos de forma más clara y aprovechar las oportunidades que se pueden derivar de los mismos.
¿Desea saber más?
Entradas relacionadas
La norma ISO 17025 es una de las más importantes en el ámbito de los laboratorios de ensayo y calibración. Proporciona un marco...
Los indicadores para la norma ISO 9001 son señales confiables que permiten suponer, antes de una auditoría interna…