Portada » El Blog de Riesgo » GESTIÓN DE RIESGOS Y SEGURIDAD INFORMÁTICA

GESTIÓN DE RIESGOS Y SEGURIDAD INFORMÁTICA

¿Cómo  considera la ISO 31000 las auditorias de Seguridad Informática?

Articulo en colaboración con Sergio Ruano (http://www.gerenciaderiesgos.es)

RIESGO_INFORMATICAEl hecho de que cada disciplina haya estandarizado o elaborado criterios para la gestión de los riesgos asociados a las mismas, hace que cuando queremos aplicar un pensamiento basado en riesgo de forma homogénea en toda la organización, tengamos problemas de definición. Así, la norma ISO 31000, si bien es un paraguas para abordar la gestión del riesgo de forma homogénea en nuestra organización, nos obliga a replantear determinados procesos.

Hoy trataremos el caso concreto de la seguridad informática o de sistemas de información.

Las auditorías de seguridad informática o auditorías de seguridad de sistemas de información (SI) se definen como el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

Y desde un punto de vista estrictamente “informático y de sistemas” tiene su sentido y es normalmente bien entendido por los profesionales de estos campos, especialmente los que trabajan con las normas de la serie ISO 27000.

Pero si pensamos en la definición de riesgo que hace la ISO 31000, como el efecto de la incertidumbre sobre la consecución de los objetivos, no se revela tan claro como considerar las auditorías de seguridad.

A continuación hacemos una interpretación personal por si puede resultar de ayuda pero dejando claro que solo es una interpretación y que cada uno debe buscar la utilidad de los conceptos según sea el caso.

Un objetivo queda claramente definido cuando está cuantificado y delimitado en el tiempo.

De esta manera, la seguridad informática y de la información será un aspecto a considerar en relación a lo probable que es que se consiga o no un objetivo.

Lo comprometido que quede un objetivo por estas cuestiones dependerá de tres aspectos:

  • La fuente de peligro: Quién y porqué nos puede afectar
  • Las vulnerabilidades: Cómo de fácil es que nos veamos afectados
  • Las consecuencias: Cómo comprometen esos efectos a nuestros objetivos

Cuanto más conocimiento tengamos sobre estos tres puntos, menor será la incertidumbre que afectará a nuestros objetivos.

Así, el conocimiento nos permite reducir la incertidumbre en tanto que podemos tratar los riesgos de forma dirigida. Reducir, eliminar o transferir no es tan fácil si no conocemos el alcance y efecto de peligros y vulnerabilidades.

En este sentido, hemos elaborado una metodología de análisis de riesgos transferibles en el marco de la seguridad informática y de la información.

Mediante esta metodología, analizamos qué es susceptible de ser asegurado y que no, al igual que somos capaces de indicar cuando un riesgo asegurable es interesante transferirlo o sale más a cuenta reducir su probabilidad de ocurrencia mediante medidas de seguridad directas.

Pero quizás la mayor ventaja del análisis de riesgos asegurables es que permite identificar fuentes de peligro que de otra manera no serían consideradas ya que el producto asegurador se basa en ofrecer cobertura a riesgos que estima probables pero no lo suficiente para pensar que ocurrirán con mucha frecuencia.

Por otro lado, para las empresas que realizan las auditorias de seguridad, conocer las opciones y costes de la transferencia de riesgos les permite ofrecer soluciones técnicas justificando su coste de implantación en relación al coste de la prima de un seguro.

En definitiva, las auditorias de seguridad informática y de la información se centran a menudo, casi exclusivamente, en la detección de vulnerabilidades y en los procedimientos técnicos que las limitan o reducen.

No obstante, una gestión integral de riesgos requiere también considerar los peligros en términos de quién y porqué nos van a querer hacer daño así como en términos de qué me sale a cuenta transferir por no poder eliminar o ser muy costoso reducir, teniendo en cuenta el coste total del riesgo.

Tanto si perteneces a una empresa de seguridad informática, como si estás preocupados pos tus riesgos cibernéticos y quieres ampliar información, no dudes en ponerte en contacto con nosotros.

Facebooktwittergoogle_pluslinkedinmail

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *