SUSCRÍBETE
Pablo Corona Fraga
Pablo Corona Fraga

Director General NYCE-SIGE. Vicepresidente de seguridad en la Asociación Mexicana de Internet (AMIPCI) y Coordinador del Comité de “IT Security Techniques” de la ISO en México. Editor de la norma 27005, sobre Gestión de Riesgos de TI y participante en la elaboración de las normas ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004 entre otras. Auditor líder certificado en Sistemas de Gestión de Seguridad de la Información, Gestión de Servicios, Gobernabilidad de TI, Gestión de Riesgos y Continuidad de Negocio.

Se ha hablado mucho sobre la gestión de riesgos, si existen riesgos positivos y cómo abordar las oportunidades, pero a veces tendemos a intentar encajar a todos los tipos del riesgo en el mismo molde, sin embargo no todos los riesgos son iguales, la línea de normas ISO 31000 incluye lineamientos para crear un proceso de gestión de riesgos, partiendo del entendimiento del contexto de la organización, las necesidades y expectativas de las partes interesadas, para utilizarlas como base para establecer los objetivos, roles y mecanismos de comunicación de la organización.

Esta norma es aplicable a todo tipo de riesgo, como los financieros, donde queda muy claro por qué hablamos de riesgos y oportunidades juntos, pues cada riesgo se toma para perseguir una oportunidad, en este caso para obtener una ganancia económica. Para esto existen aspectos medibles que ayudan a evaluar el riesgo asociado con la ganancia potencial que se puede obtener en función de la pérdida potencial.

Traducir estos conceptos a la seguridad de la información y la ciberseguridad parecía natural pero también es complicado, porque los riesgos en este otro ámbito se comportan de manera diferente. Aquí es donde reside la importancia de estándares como ISO / IEC 27005, que toma las mejores prácticas y lecciones aprendidas de muchas organizaciones y culturas, para que podamos adoptarlas y adaptarlas a nuestro contexto, necesidades y objetivos, enfocándose en considerar elementos específicos que pueden tener un efecto en la confidencialidad, disponibilidad e integridad, incluyendo anexos con ejemplos o metodologías de evaluación de riesgos, incluyendo aquellas clásicas enfocadas en activos, amenazas y vulnerabilidades, o algunas más recientes que se refieren a escenarios de riesgo y modelado de amenazas.

Aquí puedes ver "Cómo minimizar los riesgos de ciberseguridad en el sector financiero".

Estos procesos de gestión de riesgos son un medio para introducir la tecnología como facilitador de negocio, persiguiendo oportunidades y en muchos casos la ganancia llega de primera mano en oposición a lo que ocurre en los riesgos financieros, que averiguamos si ganamos o perdemos al mismo tiempo porque con solo instalar o implementar estas tecnologías podemos trabajar más rápido, desde cualquier lugar, en cualquier momento, tener opciones de redundancia y llegar a clientes o usuarios en lugares a los que sería imposible llegar sin tecnología. Este caso es más parecido a firmar un contrato con un cliente que te da dinero al inicio del contrato y si entregas a tiempo, usas los recursos de manera eficiente y gestionas bien el proyecto, terminas ganando dinero, pero entregas tarde o con defectos obtienes una penalización, si no administra los recursos de una manera rentable, al final puede perder dinero en lugar de ganar.

El proceso de gestión de riesgos descrito en ISO / IEC 27005 alinea los objetivos de negocio con los objetivos de seguridad de la información para evaluar, identificar y evaluar aquellos eventos que pueden tener un efecto en la información o la infraestructura que la soportan o un habilitador de negocio, pues si la información se ve afectada, los objetivos de negocio se ven comprometidos.

Cuando se habla de seguridad de la información y riesgos de ciberseguridad, la ganancia se obtiene de antemano y la pérdida potencial permanece inactiva, hasta que la información se corrompe o se pierde, los servicios no están disponibles, alguien tiene acceso no autorizado a información confidencial o puede controlar las transacciones comerciales. Esto puede suceder o no en el corto plazo, pero a la larga eventualmente sucederá y esto dependerá de aspectos como el beneficio que se puede obtener a través de esa tecnología, la exposición que tiene, los puntos únicos de falla que tiene el sistema, lo complejo que es corromper el sistema sin que se note, entre otros.

En realidad, estos aspectos definen tanto la probabilidad del riesgo como el tipo de medidas que se pueden implementar para reducir esta probabilidad. Entonces, si tomamos el planteamiento de la tecnología, podemos medir qué tan expuesta está mapeando desde dónde se puede acceder, ya sea desde un acceso físico a las instalaciones, a través de una red local o internet. Además, es más probable que se materialice un riesgo si la cantidad de usuarios o dispositivos es alta o no están autenticados. Estos pueden usarse como criterios para medir el riesgo y también brindar orientación sobre la identificación de cada usuario y dispositivo, identificar y reducir la cantidad de componentes del sistema expuestos fuera de la organización e implementar sistemas de registro y monitoreo para detectar actividades inusuales.

Por lo tanto, administramos los riesgos para maximizar las ganancias y reducir las pérdidas, por lo que comprender qué tan grande es el beneficio de introducir un habilitador de negocio nos ayudará a asignar la cantidad adecuada de recursos para administrar y controlar los riesgos derivados de esos habilitadores. ISO / IEC 27005 establece las pautas de gestión de riesgos que se deben seguir para lograr este objetivo.

Este sistema de gestión es una herramienta que crea una estrategia de seguridad, trabajando de una forma similar a la diversificación del portafolio de inversiones, con controles en diferentes niveles de la organización y de diferente tipo ya sean administrativos, físicos o lógicos implementando controles para identificar, proteger , detectar, responder y recuperarse antes, durante y después de las incidencias, evitando trasladar la seguridad completa en un solo control o grupo de personas, alineando las necesidades y expectativas de los diferentes niveles de la organización con los objetivos de negocio.

Esta declaración de Aplicabilidad es alimentada por diferentes fuentes, tales como los resultados del análisis de riesgo, evaluaciones de impacto en la privacidad, controles obligatorios y medidas establecidas en requisitos legales o contractuales, otros marcos o referencias de control implementados y luego complementados con los del Anexo A o estándares específicos del sector como ISO / IEC 27011 para empresas de telecomunicaciones, ISO / IEC 27017 para proveedores de servicios de nube, ISO / IEC 27018 para proveedor de servicios de nube que procesan datos personales, ISO / IEC 27019 para empresas de generación, transmisión y distribución de energía eléctrica, ISO / IEC 27701 para la protección de datos personales u otro tipo de directrices y marcos como ENISA Cloud Security Guide para PYMES o el marco de ciberseguridad NIST (NIST Cybersecurity Framework).

De esta forma contamos con un sistema de gestión completo que está:

  • Alineado con las necesidades comerciales
  • Considera los requisitos de las partes interesadas
  • Establece un proceso integral de evaluación de riesgos de acuerdo con el contexto organizacional
  • Incluye controles y medidas de diferentes fuentes para construir una estrategia única, resistente y continuamente mejorada.


La certificación de un Sistema de Gestión de Seguridad de la información basado en ISO/IEC 27001 es el mecanismo que brinda seguridad y confianza sobre las acciones en materia de seguridad y ciberseguridad que ha realizado la organización, mejorando la confianza de socios, accionistas y directivos, así como de clientes y autoridades.

Aquí puedes ver "Cómo minimizar los riesgos de ciberseguridad en el sector financiero".

Visitas: 83

ARTICULOS RELACIONADOS

Seguridad en el Home Office

El trabajo remoto tiene grandes beneficios, pero también tiene riesgos en la ciberseguridad.

beneficios del teletrabajo cibersecurity trabajo remoto Seguir leyendo keyboard_arrow_right
Apr 2021 Visitas: 57

Alerta Campaña de fraude a inversores haciéndose pasar por la CNMV

Alerta sobre una campaña de fraude a inversores haciéndose pasar por la CNMV.

ciberataques cibersecurity phishing Seguir leyendo keyboard_arrow_right
Mar 2021 Visitas: 101

¿Qué son las APT y cuál es la mejor estrategia de protección ante éstas?

El término APT suele ser usado en la jerga de ciberseguridad para referirse cualquier tipo de ataque “sofisticado”.

cibersecurity phishing ransomware Seguir leyendo keyboard_arrow_right
Mar 2021 Visitas: 177

COMENTARIOS

SUSCRÍBETE

help_outline