Globedia.com

×

Error de autenticación

Ha habido un problema a la hora de conectarse a la red social. Por favor intentalo de nuevo

Si el problema persiste, nos lo puedes decir AQUÍ

×
×
Recibir alertas

¿Quieres recibir una notificación por email cada vez que Miguel Huaura escriba una noticia?

Gestión de Riesgos de Seguridad de la Información en las Empresas. ¿Cómo se gestionan? ¿A qué riesgos se exponen?

9
- +
19/05/2017 16:43 0 Comentarios Lectura: ( palabras)

Las empresas enfrentan una serie de riesgos, debido a que no están identificados y en algunos casos gestionados incorrectamente, es por ello que la Gestión de Riesgos en conjunto con la Seguridad de la Información son piezas vitales para que las empresas cumplan con sus objetivos

Las empresas procesan información de sus clientes, proveedores y colaboradores, por ello deben asegurar que su información es custodiada con los debidos controles de seguridad. Actualmente ante el crecimiento propio de las empresas, los cambios tecnológicos, la falta de entrenamiento a los colaboradores (en temas específicos en Gestión de Riesgos y Seguridad de la Información) originan brechas en la Seguridad de la Información como por ejemplo fuga de información confidencial, uso inadecuado de dispositivos móviles, uso indebido del Internet, incumplimiento a leyes o normas, entre otros.

Es importante identificar los riesgos que se exponen las empresas, para luego implementar un plan de mitigación contra los riesgos, existen diversos casos de una inadecuada gestión del riesgo que han originado consecuencias y generado un gran impacto en la reputación de las empresas.

La gestión de riesgos simplemente es una manera de administrar los riesgos. En otras palabras, es lo concerniente a todas las actividades que son realizadas para reducir la incertidumbre asociada a ciertas tareas o eventos.

En investigaciones realizadas por ISACA (Asociación de Auditoría y Control de Sistemas de Información) nos brinda una visión sobre la Auditoría en la Gestión de Riesgos y profundiza el tema de la Seguridad de la Información.

Según ISO 31000, puede ayudar a las organizaciones a aumentar la probabilidad del logro de objetivos, mejorar la identificación de oportunidades y amenazas, asignar y utilizar los recursos para el tratamiento del riesgo.

La Seguridad de la Información, según ISO27001, se refiere a la confidencialidad, la integridad y la disponibilidad de la información y los datos importantes para la organización, independientemente del formato que tengan (físico o lógico).

¿Cómo gestionar los riesgos de Seguridad de la Información?

Para el éxito de una adecuada Gestión de Riesgos de Seguridad de la Información es fundamental el compromiso de la Alta Dirección, así como establecimiento de una planificación, diseño y políticas claras para lograr el compromiso en todos los niveles de la empresa.

Las características deseables en la metodología a desarrollar son los siguientes:

• Estar basada en estándares para aprovechar conocimiento, herramientas y permitir la comparación con otras empresas.

• Debe ser sencilla y fácil de uso, tanto en el momento de la primera implantación como en el mantenimiento.

• Enfocada a los procesos críticos y de soporte de las Empresas.

• Debe ser adaptable, que pueda ser gestionada en diferentes entornos.

• Debe generar resultados, no debe depender de quién aplique la metodología, ni de cómo lo haga.

Independiente de la metodología a aplicar es indispensable definir el alcance (área, proceso o activo), objetivos, contexto, criterios de riesgos y una serie de factores que permitan gestionar los riesgos.

Para el éxito de una adecuada Gestión de Riesgos de Seguridad de la Información es fundamental el compromiso de la Alta Dirección

Dentro de la evaluación del riesgo se encuentra:

1. Identificación del Riesgo

2. Análisis del Riesgo

3. Valoración del Riesgo.

4. Tratamiento del Riesgo.

Considerar que es indispensable que en cada etapa de la Gestión de Riesgos se tiene que realizar un monitoreo continuo y una comunicación constante con los involucrados, dado que en circunstancias es posible que nos enfrentemos a nuevos riesgos.

Si bien es cierto en algunos sectores o giros de empresas se gestionan los riesgos, actualmente la seguridad de la información ha tomado un papel importante que se necesita de personas o recursos especializados para abordarlos y enfrentarlos de una manera correcta.

Teniendo ya conocimiento de una metodología, es importante responder esta interrogante:

¿Por qué se debe realizar una Gestión de Riesgos de Seguridad de la Información?

• Porque la empresa se sustenta a partir de la información que maneja.

• Porque no solamente la seguridad de la información depende de la tecnología.

• Porque la Seguridad de la Información se enfoca en la confidencialidad, integridad y disponibilidad a fin de evitar la materialización de riesgos y posibles incidentes.

Entonces aplicando de la metodología podemos identificar y tratar diversos tipos de riesgos como:

• Fuga de información (información clasificada a terceros).

• Pérdida de la confidencialidad (acceso a información a personas no autorizadas).

• Pérdida de la integridad de la información (modificación, alteración o destrucción de documentos físicos o lógicos de personas no autorizadas).

• Pérdida de la disponibilidad de la información (información no accesible en el momento que se requiera).

• Incumplimiento de Leyes y/o Regulaciones (en el caso de Perú la Ley de Protección de Datos Personales N° 29733).

• Violación a los derechos de autor (descarga o uso de software ilegal).

Entonces tener un modelo de Gestión de Riesgos de Seguridad de la Información con el compromiso de la Alta Dirección de las empresas permite identificar, evaluar y tratar correctamente los activos y procesos, sus amenazas, debilidades y niveles de riesgo relacionadas asociados a la disponibilidad, integridad y confidencialidad de la información. Adiconal a ello parte de la correcta Gestión de Riesgos de Seguridad de la Información es el involucramiento de los responsables de Tecnología de Información, de los líderes de los procesos críticos y de manera general de todos de los que gestionan y acceden a información clave de la empresa.

Finalmente es importante que las empresas asuman la necesidad de definir un área que aborde el Gobierno de la Seguridad de la Información y sean ellos los pilares de definir las responsabilidades y ejecutar las buenas prácticas e informen a la Alta Dirección, con el objetivo de brindar una dirección estratégica y determinar que los riesgos se administren apropiadamente.


Sobre esta noticia

Autor:
Miguel Huaura (1 noticias)
Visitas:
23
Tipo:
Opinión
Licencia:
Distribución gratuita
¿Problemas con esta noticia?
×
Denunciar esta noticia por

Denunciar

Comentarios

Aún no hay comentarios en esta noticia.