Gestionar los riesgos de seguridad de la información requiere de un adecuado método de evaluación y tratamiento de los riesgos.
Gestión de los riesgos en seguridad de la información
La metodología empleada puede incluir una estimación de los costos y beneficios, los requisitos legales, aspectos sociales, económicos y ambientales, las preocupaciones de las partes interesadas en la organización, las prioridades y otras variables adicionales, según sea necesario y de interés en cada caso particular.
Los resultados de la evaluación de riesgos de seguridad de la información proporcionan una importante ayuda para determinar las decisiones de gestión más adecuadas en el tratamiento, en el uso de recursos y en las prioridades que son recomendables aplicar para la gestión óptima de los riesgos de seguridad de la información en cada momento y en relación al resto de necesidades de negocio.
Uno de los resultados que más sorprende a las organizaciones cuando desarrolla las primeras evaluaciones es el comprobar que existen recursos excesivos dedicados a la protección de algunos activos de menor importancia o controles que, aunque una vez lo fueron, ya no son relevantes para la organización y mantienen un consumo y dedicación de recursos a todas luces evitables, y que proporciona una fuente potencial de ahorro.
Para que una organización desarrolle su propia metodología y contemple todos los aspectos relevantes en esta tarea, existe el estándar internacional ISO/IEC 31000 como ayuda más directa para acometer esta labor, y que proporciona una orientación sobre las actividades para la gestión, incluido el asesoramiento sobre la evaluación de riesgos, tratamiento de riesgos, aceptación del riesgo, la comunicación de riesgos, control de riesgos y revisión de los riesgos.
Es pertinente aclarar que ISO/IEC 31000, así como en el caso de otros documentos relacionados con metodologías para la evaluación del riesgo en las organizaciones (Magerit, ISO 27005, etc.), sirven como documentos de ayuda para implementar el proceso de evaluación y tratamiento de riesgos de la seguridad de la información. Por tanto, cada organización debe definir y formalizar la metodología que mejor se adapte a sus necesidades y recursos.
En este sentido, suele producirse el error frecuente de introducir, en la fase de implantación, metodologías más complejas y con un desarrollo más laborioso de lo que la organización puede realmente mantener, condenando la posibilidad del mantenimiento a corto-medio plazo (menos de un año en muchos casos).
Mantenimiento y mejora de la efectividad del SGSI
Una organización necesita mantener y mejorar el SGSI a través de la supervisión y la evaluación de su rendimiento y en consideración con la política de organización y los objetivos establecidos.
De forma similar a otras actividades relevantes para la organización (como las de planificación, económicas o financieras), se debe informar de los resultados de la gestión de la seguridad a la alta dirección implicada en el SGSI para su revisión. Esta revisión del SGSI permite aportar evidencias del desarrollo de las acciones de validación, de verificación y de trazabilidad de aquellas acciones correctivas, preventivas y de mejora, y en base a los registros y monitorización de las diversas áreas consideradas en el alcance de interés dentro del SGSI, incluyendo el seguimiento en el desempeño y efectividad de los controles de seguridad de la información que se encuentren en activo.
Factores de éxito
Existe un gran número de factores que deben ser considerados como fundamentales para una adecuada implementación de un SGSI y permitir a una organización cumplir con sus objetivos de negocio.
A continuación, relacionamos algunos de los factores críticos de éxito más importantes a considerar:
- Obtener un entendimiento del contexto de la organización y de los elementos que pueden afectar a la seguridad de la información.
- Obtener todas las partes interesadas y los requisitos de las mismas respecto a la seguridad de la información.
- Obtener la legislación aplicable y los requisitos en materia de seguridad de la información.
- Política de seguridad, objetivos y actividades del SGSI en armonía con los correspondientes para el negocio.
- El enfoque y marco utilizados para el diseño, ejecución, supervisión, mantenimiento y mejora de la seguridad de la información deber ser consistente con la cultura organizacional.
- El apoyo y compromiso visible y decidido de todos los niveles de gestión con la Dirección al frente.
- Obtener el conocimiento de las necesidades de protección de los activos de información en base a la aplicación de la gestión de riesgos de seguridad.
- Disponer de un programa eficaz en sensibilización, formación y educación en seguridad de la información para todos los empleados, así como otras partes que guardan relación con la organización, con el objetivo de garantizar el cumplimiento de las obligaciones en materia de seguridad de la información y recogidas en las políticas de seguridad de la información, normas, etc., y que anime a actuar en consecuencia.
- Procesos eficientes para la comunicación y gestión de incidentes de seguridad.
- Una estrategia efectiva para la continuidad del negocio.
- Un sistema de medición establecido para evaluar el desempeño en la gestión de seguridad de la información y que habilite una retroalimentación de sugerencias para la mejora.
Un SGSI aumenta la probabilidad de que una organización logre la consecución de los factores críticos de éxito necesarios para proteger sus activos de información.
Conoce nuestro Máster en Dirección de Sistemas y Tecnologías de la Información