Es el mecanismo que brinda seguridad y confianza sobre las acciones en materia de seguridad y ciberseguridad que ha realizado la organización.
Cuando se habla de seguridad de la información y riesgos de ciberseguridad, la ganancia se obtiene de antemano y la pérdida potencial permanece inactiva, hasta que la información se corrompe o se pierde, los servicios no están disponibles, alguien tiene acceso no autorizado a información confidencial o puede controlar las transacciones comerciales.
En realidad, estos aspectos definen tanto la probabilidad del riesgo como el tipo de medidas que se pueden implementar para reducir esta probabilidad. Entonces, si tomamos el planteamiento de la tecnología, podemos medir qué tan expuesta está mapeando, desde dónde se puede ingresar, ya sea desde un acceso físico a las instalaciones, a través de una red local o internet.
Además, es más probable que se materialice un riesgo si la cantidad de usuarios o dispositivos es alta o no están autorizados. Estos pueden usarse como criterios para medir el riesgo y también brindar orientación sobre la identificación de cada usuario y dispositivo, identificar y reducir la cantidad de componentes del sistema expuestos fuera de la organización e implementar sistemas de registro y monitoreo para detectar actividades inusuales.
Por lo tanto, administramos los riesgos para maximizar las ganancias y reducir las pérdidas, por lo que comprender qué tan grande es el beneficio de introducir un habilitador de negocio nos ayudará a asignar la cantidad adecuada de recursos para administrar y controlar los riesgos derivados de esos habilitadores.
Gestión de seguridad
Encontrar esa cantidad adecuada de recursos es clave para la gestión de riesgos y es un equilibrio difícil de encontrar. Demasiados controles y el negocio pueden obstruirse, ralentizarse o sacarlo del mercado. Pero muy pocos controles pueden hacer que la organización sea frágil, expuesta y vulnerable. La gestión de riesgos requiere comenzar desde lo más alto de la organización, para comprender las necesidades y expectativas de las partes interesadas para establecer objetivos estratégicos de negocio.
Este mecanismo es lo que llamamos un Sistema de Gestión de Seguridad de la Información / ciberseguridad, que está diseñado para alinear todos estos diferentes puntos de vista, perfiles, necesidades, expectativas, objetivos, actividades, indicadores, etc. de una manera integral, que maximiza las oportunidades y reduce los riesgos asociados con su persecución. El ISO/IEC 27001 es la referencia más utilizada para contar con este mecanismo.
Este sistema de gestión es una herramienta que crea una estrategia de seguridad, trabajando de una forma similar a la diversificación del portafolio de inversiones, con controles en diferentes niveles de la organización y de diferente tipo -ya sean administrativos…
Por: Pablo Corona Fraga,
Director Corporativo de Sistemas de Gestión.
NYCE Sistemas de Gestión.R.H