| 25 años generando CONFIANZA
Riesgos IT
Lo primero que debemos saber antes de abordar cómo gestionar los riesgos en tecnologías de la información, lo primero que tenemos que tener en cuenta es que es el riesgo y que es riesgo en tecnologías de información.
¿Qué son los Riesgos IT?
- Riesgo: Es un posible incidente con una probabilidad de ocurrencia para la afectación de alguna actividad o proceso en curso para ejecutar o ser ejecutado en tiempos y espacios diferenciales que pueden traer consecuencias negativas o positivas las cuales pueden afectar el desarrollo de mis estrategias para el cumplimiento de los objetivos organizacionales.
- Riegos de Tecnología de Información: Se define como la probabilidad de el efecto sobre una causa, producto de la frecuencia probable de ocurrencia de un evento positivo o negativo dentro de un sistema de tecnologías de la información. Es por ello que surge la necesidad de la aplicación de controles que actúen sobre el riesgo “activo” sobre la causa que lo genera con el fin de minimizar el impacto.
ISO 27001 para Seguridad de la Información
La norma ISO 27001 cuenta con unos principios en los cual es el porcentaje de su éxito dentro de los Sistemas de Gestión de seguridad de la información los cuales son la confiabilidad, integridad y disponibilidad de la información, esta información se encuentra sujeta a diferentes activos que dentro de las organizaciones se convierte en inventarios de activos los cuales se evalúan con el fin de poder valorar su estado de riesgo frente al sistema, a esto lo llamamos determinación del nivel del riesgo el cual es el resultado de verificar el impacto y la probabilidad con los diferentes controles para los procesos desarrollados dentro de la organización.
Nueva ISO 27002:2022
La pregunta entonces es, ¿Cómo nos puede ayudar a gestionar los riesgos de Tecnologías de la Información la nueva ISO 27002:2022? A lo cual se responde que esta nueva actualización guía es mucho más eficaz y rápida, en donde las organizaciones tienen mayor autonomía frente al desarrollo de sus criterios, respecto a la administración de los riesgos de seguridad de la información.
Esta nueva norma cuenta entre sus elementos relevantes la toma de decisiones basada en riesgos, está enfocado en 4 temas principales los cuales corresponde a elementos físicos, las propiedades de la seguridad de la información, personas y tecnológicos, los cuales cuentan con un total de 93 controles divididos en 37 controles organizacionales, 8 controles de personas, 14 controles físicos y 34 controles tecnológicos.
La ejecución de estos controles se presenta en el método más usado que es la matriz de riesgos en donde se hace el análisis de los activos en donde se ve representado el proceso el riesgo inherente, las posibles amenazas, vulnerabilidad, se realiza la aplicación de los controles que se encuentran ubicados en la etapa de tratamiento de riesgos, luego de este tratamiento el resultado es el riesgo residual y se finaliza con un plan de tratamiento, su gestión se puede realizar desde un mapa de calor el cual gráficamente nos permite visualizar, cuáles activos se encuentran con mayor riesgos y que debemos atacar para prever la materialización del riesgo.
El orden adecuado para todo este proceso la organizaciones puede establecer una metodología de trabajo referente al análisis de riesgos en IT el cual consiste en identificar el riesgo, realizar el análisis del mismo valorarlo, determinar controles, identificar el nivel de exposición, realizar la evaluación del riesgo, crear la matriz de amenazas, categorizar los riesgos, se documentan los controles definitivos y se presentan los resultados a la alta dirección, quienes tomarán decisiones frente a estos resultados con el fin de tomar decisiones basadas en el cumplimiento de los objetivos.
En conclusión, con la nueva ISO 27002 se pueden gestionar los riesgos de tecnología de la información de manera ágil y con mayor autonomía, se puede apalancar este proceso a través de softwares configurables que permiten agilizar más el proceso, visualmente generar un plus frente al gestión de los riesgos, notificar en tiempo real y tomar decisiones eficaces que me permiten tener controlados los procesos para el cumplimiento de los objetivos.
Software Seguridad de la Información
Esta integración de complementos de Sistemas de Gestión de Seguridad de la información requiere de gran disciplina, orden y pensamiento sistémico. Esto es así para que llegue a ser realmente útil y aporte beneficios a la organización. Este grado de utilidad se puede llegar a conseguir siempre que se realice la gestión de forma eficiente y automatizada mediante un software de Gestión de Seguridad de la Información como ISOTools.
¿Desea saber más?
Entradas relacionadas
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...
La norma ISO 19011 es una guía para hacer auditorías de sistemas de gestión, a través de un marco claro y conciso para planificar y...