miércoles, 15 de febrero de 2023

ESTRATEGIAS PARA LA MITIGACIÓN DE LOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

La gestión de riesgos se trata de identificar y proteger los activos valiosos de una organización. Los procedimientos de gestión de riesgos son procesos fundamentales para preparar a las organizaciones para un futuro ataque de ciberseguridad, para evaluar la resistencia de los productos y servicios a posibles ataques antes de comercializarlos y para prevenir el fraude en la cadena de suministro.

Los riesgos deben gestionarse porque las amenazas pueden tener consecuencias sustanciales para la organización o incluso amenazar su existencia. Pero ¿qué es el riesgo?

  • Es el efecto de la incertidumbre sobre los objetivos (ISO 31000:2018).
  • Efecto sobre la incertidumbre: Directivas ISO, Parte 1, Anexo SL, Apéndice 2]

La gestión de riesgos, por su parte, incluye actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. Una parte fundamental de este proceso es la evaluación de riesgos, que es un proceso general de identificación de riesgos, análisis de riesgos y evaluación de riesgos. Los riesgos se pueden mitigar, transferir y aceptar.

La mitigación de riesgos es la respuesta que abordaremos para manejar los riesgos identificados. Los estándares de gestión de riesgos como ISO/IEC 27005 o EN 303 645 son ejemplos útiles y nos indican qué hacer.

Cuando una organización tiene la intención de lograr la conformidad con los requisitos de un estándar de sistema de gestión como en ISO/IEC 27001:2017, los requisitos que abordan la gestión de riesgos se pueden encontrar en estas cláusulas:

  • 6.1 Acciones para abordar riesgos y oportunidades
  • 8.2 Evaluación de riesgos de seguridad de la información
  • 8.3 Mitigación de riesgos de seguridad de la información.

Objetivos de la gestión de riesgos

El principal objetivo de la gestión de riesgos dentro de una organización es determinar las posibles incertidumbres o amenazas, proteger contra las consecuencias resultantes y permitir la consecución de los objetivos empresariales.

La gestión de riesgos puede abordar tipos individuales de riesgos, como el riesgo empresarial, el riesgo de mercado, el riesgo crediticio, el riesgo operativo, el riesgo de proyecto, el riesgo de desarrollo, el riesgo de la cadena de suministro, el riesgo de infraestructura, los riesgos de componentes o varios de los tipos de riesgo enumerados o todos ellos. Esta lista no es exhaustiva y, según el tipo de negocio que tenga una organización, pueden existir tipos de riesgos adicionales y ser relevantes.

3 estrategias clave para la mitigación de riesgos

  • Magerit: es una metodología muy completa que permite orientar los esfuerzos para la gestión de riesgos de seguridad de la información de forma estructurada. Viene preconfigurado dependiendo del tipo de activo y tecnología, además incluye los riesgos más típicos de cada activo. Es una ventaja importante porque permite inmediatamente reconocer las características del riesgo y, en consecuencia, la forma de cómo enfrentarlos.
  • ISO/IEC 27005: tiene una estructura que es muy coherente con la norma ISO 31000, también permite hacer una asociación entre amenazas y vulnerabilidades, que hace que la gestión sea más coherente en cuanto a que no se pueden evitar las amenazas, pero sí se pueden gestionar las vulnerabilidades. Las características que tiene la guía es que es muy generalista, pero a pesar de eso permite orientar para encontrar vulnerabilidades más precisas con apoyo de otras tecnologías o bases de datos, por ejemplo, las bases de datos de vulnerabilidades que se publican cada cierto tiempo o con el uso de sistemas como SIEM.
  • COBIT: es una de las estrategias más robustas, y esto lo hace muy bueno, pero requiere competencias muy específicas de las personas que lo ejecutan y de todo un despliegue de las buenas prácticas y enfoque COBIT para que sea efectivo. Si esto se hace, la organización tendrá una capacidad de respuesta de muy alto nivel y adecuado a las características cambiantes del entorno. De las 3 estrategias, esta es la más difícil de implementar, pero también una vez que una organización las logra implementar son de muy alto valor porque su capacidad de respuesta está muy adecuada a la dinámica del entorno actual.

¿Con cuál nos quedamos? Nosotros tenemos nuestras preferencias pero en cada organización se deberá seleccionar la que mejor se adapte a la cultura organizacional y la tecnología empleada para la gestión de riesgos.

Tomado de: https://www.isotools.org/

No hay comentarios.: