Riesgos de Seguridad de la Información
La gestión de riesgos se trata de identificar y proteger los activos valiosos de una organización. Los procedimientos de gestión de riesgos son procesos fundamentales para preparar a las organizaciones para un futuro ataque de ciberseguridad, para evaluar la resistencia de los productos y servicios a posibles ataques antes de comercializarlos y para prevenir el fraude en la cadena de suministro.
Los riesgos deben gestionarse porque las amenazas pueden tener consecuencias sustanciales para la organización o incluso amenazar su existencia. Pero, ¿qué es el riesgo?
- Es el efecto de la incertidumbre sobre los objetivos (ISO 31000:2018).
- Efecto sobre la incertidumbre: Directivas ISO, Parte 1, Anexo SL, Apéndice 2]
La gestión de riesgos, por su parte, incluye actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. Una parte fundamental de este proceso es la evaluación de riesgos, que es un proceso general de identificación de riesgos, análisis de riesgos y evaluación de riesgos. Los riesgos se pueden mitigar, transferir y aceptar.
La mitigación de riesgos es la respuesta que abordaremos para manejar los riesgos identificados. Los estándares de gestión de riesgos como ISO/IEC 27005 o EN 303 645 son ejemplos útiles y nos indican qué hacer.
Cuando una organización tiene la intención de lograr la conformidad con los requisitos de un estándar de sistema de gestión como en ISO/IEC 27001:2017, los requisitos que abordan la gestión de riesgos se pueden encontrar en estas cláusulas:
- 6.1 Acciones para abordar riesgos y oportunidades
- 8.2 Evaluación de riesgos de seguridad de la información
- 8.3 Mitigación de riesgos de seguridad de la información.
Objetivos de la gestión de riesgos
El principal objetivo de la gestión de riesgos dentro de una organización es determinar las posibles incertidumbres o amenazas, proteger contra las consecuencias resultantes y permitir la consecución de los objetivos empresariales.
La gestión de riesgos puede abordar tipos individuales de riesgos, como el riesgo empresarial, el riesgo de mercado, el riesgo crediticio, el riesgo operativo, el riesgo de proyecto, el riesgo de desarrollo, el riesgo de la cadena de suministro, el riesgo de infraestructura, los riesgos de componentes o varios de los tipos de riesgo enumerados o todos ellos. Esta lista no es exhaustiva y, según el tipo de negocio que tenga una organización, pueden existir tipos de riesgos adicionales y ser relevantes.
3 estrategias clave para la mitigación de riesgos
- Magerit: es una metodología muy completa que permite orientar los esfuerzos para la gestión de riesgos de seguridad de la información de forma estructurada. Viene preconfigurado dependiendo del tipo de activo y tecnología, además incluye los riesgos más típicos de cada activo. Es una ventaja importante porque permite inmediatamente reconocer las características del riesgo y, en consecuencia, la forma de cómo enfrentarlos.
- ISO/IEC 27005: tiene una estructura que es muy coherente con la norma ISO 31000, también permite hacer una asociación entre amenazas y vulnerabilidades, que hace que la gestión sea más coherente en cuanto a que no se pueden evitar las amenazas, pero sí se pueden gestionar las vulnerabilidades. Las características que tiene la guía es que es muy generalista, pero a pesar de eso permite orientar para encontrar vulnerabilidades más precisas con apoyo de otras tecnologías o bases de datos, por ejemplo, las bases de datos de vulnerabilidades que se publican cada cierto tiempo o con el uso de sistemas como SIEM.
- COBIT: es una de las estrategias más robustas, y esto lo hace muy bueno, pero requiere competencias muy específicas de las personas que lo ejecutan y de todo un despliegue de las buenas prácticas y enfoque COBIT para que sea efectivo. Si esto se hace, la organización tendrá una capacidad de respuesta de muy alto nivel y adecuado a las características cambiantes del entorno. De las 3 estrategias, esta es la más difícil de implementar, pero también una vez que una organización las logra implementar son de muy alto valor porque su capacidad de respuesta está muy adecuada a la dinámica del entorno actual.
¿Con cuál nos quedamos? Nosotros tenemos nuestras preferencias, pero en cada organización se deberá seleccionar la que mejor se adapte a la cultura organizacional y la tecnología empleada para la gestión de riesgos.
Software GRCTools para mitigación de riesgos
Sea cual sea la estrategia empleada, será necesario el uso de tecnología que permita hacer más eficiente el Sistema de Gestión de Riesgos, sean estos riesgos del tipo que sean. Para ello, GRCTools provee a las organizaciones de tecnología y buenas prácticas basadas en la experiencia de más de 25 años, ayudando a empresas de todo el mundo a ser más eficientes, ágiles y sostenibles.
Gracias a las herramientas adecuadas, como el software para la gestión de riesgos de Seguridad de la Información ISOTools, es posible automatizar y sistematizar esta metodología de acuerdo con la organización y reducir en gran medida los recursos necesarios para su utilización.
Puede inscribirse en la demostración semanal que celebramos de forma gratuita para conocer el sistema y resolver las dudas que puedan surgir en este enlace.
¿Desea saber más?
Entradas relacionadas
Cumplimiento en la Cadena de Suministro: Riesgos y Controles Eficaces
24 abril, 2024
El cumplimiento en la cadena de suministro se ha convertido en un aspecto crucial para las empresas modernas...
¡No te pierdas el ESG Innova Group Summit IV!
23 abril, 2024
Os recordamos que el próximo 25 de abril de 2024, se celebrará el ESG Innova Group Summit IV
¿Cuáles son los elementos que desarrollan los componentes del modelo de capacidades de GRC?
22 abril, 2024
Las organizaciones enfrentan constantemente desafíos en su búsqueda por operar de manera ética, eficiente y en cumplimiento...
Riesgos de Terceras Partes en la Cadena de Suministro: Estrategias de Gestión
19 abril, 2024
Los riesgos de terceras partes se refieren a los peligros o amenazas que...