Riesgos de Seguridad de la Información y Ciberseguridad

El riesgo es entendido como la posibilidad de que se produzca un contratiempo, un perjuicio o daño. Conoce otras definiciones de este concepto clave.

Te contamos cuáles son los principales tipos de riesgos que existen y de qué se tratan, por ejemplo, naturales, económicos, operativos, entre otros.

Los sistemas de administración de riesgo permiten a las empresas realizar una adecuada gestión de los riesgos a los que están expuestas. Existen diferentes sistemas.

Este tipo de riesgo se refiere a la probabilidad de que una amenaza explote una vulnerabilidad y genere un impacto en un activo de información.

Es importante conocer de dónde venimos para entender hacia dónde vamos, por eso te contamos sobre algunos hechos históricos que nos hablan de la aparición y evolución de los conceptos de seguridad de la información y ciberseguridad.

Si bien no existe una definición única sobre lo que es seguridad de la información, la mayoría de estas coinciden en que se trata de mantener la confidencialidad, integridad y disponibilidad de la información.

Te contamos algunas de las principales definiciones que existen sobre ciberseguridad, que de acuerdo con la norma ISO 27000 se trata de proteger la información en un medio cibernético. Además, presentamos otros conceptos como cibernética y ciberespacio.

Un Sistema de Gestión de Seguridad de la Información está conformado por políticas, procedimientos, lineamientos, actividades y recursos asociados y su objetivo es ayudar a proteger y mantener la seguridad de la información de la empresa.

Para implementar un Sistema de Gestión de Seguridad de la Información es importante tener en cuenta el ciclo PHVA: planificar, hacer, verificar y actuar, que entre otros aspectos, permite a las áreas de seguridad de las empresas involucrar a otras áreas que cuentan con activos de información que deben ser gestionados adecuadamente.

Conoce en qué consisten las cláusulas 4 a la 10 de la norma ISO 27001 y por qué son importantes para la implementación del Sistema de Gestión de Seguridad de la Información en la empresa.

Contar con un Sistema de Gestión de Seguridad de la Información tiene muchas ventajas para la empresa, por ejemplo, reduce el riesgo de que se produzcan pérdidas de información, obliga a realizar auditorías externas periódicamente, ayuda a optimizar los procesos, se convierte en una ventaja competitiva, entre otras.

Contribuir a la consecución de los objetivos, formar parte de la toma de decisiones, integrar factores humanos y culturales y facilitar la mejora continua son algunos de los principios de la gestión de riesgos. En cuanto a metodologías, existen unas generales como COSO o ISO 31000 y otras específicas para riesgos de seguridad de la información.

La norma ISO 31000 plantea las siguientes etapas para la gestión de riesgos en una organización: determinar el contexto, valorar los riesgos (identificación, análisis y evaluación), tratar los riesgos y paralelo a estas, son claves la comunicación y consulta y el seguimiento y revisión.

En la gestión de riesgos de seguridad de la información el principal activo a proteger es la información, pero también se debe considerar la infraestructura informática, las redes de comunicaciones, las instalaciones y las personas. Aprende a analizar y tratar los riesgos asociados a estos a partir de metodologías como ISO 27005 y Magerit.

La Política de Gestión de Riesgos de Seguridad de la Información y Ciberseguridad debe indicar cómo la organización gestiona estos riesgos en sus activos de información, también debe incluir roles y responsabilidades. Conoce los pasos a seguir para hacer e implementar una política.

Un documento de procedimiento para la gestión de riesgos de activos de información debe incluir como mínimo los siguientes aspectos: definición, objetivo, normas, actividades, flujo de actividades, entradas y salidas e indicadores. Aprende aquí a documentar un procedimiento.

Para realizar este proceso, debes tener en cuenta el procedimiento y contar con el inventario de activos, que debe estar actualizado y considerar información como: servicio que soporta el activo, proceso, nombre, descripción, tipo, cantidad, valoración, entre otros. Aprende más sobre esto aquí.

Para gestionar los riesgos asociados a proyectos o iniciativas de las áreas de tecnología, debes contar con un documento en el que consideres información como: fecha, nombre de la iniciativa, objetivo, justificación, descripción, activos de información involucrados, escenarios de riesgo, recomendaciones, entre otros. Conoce más de esto aquí.

Para gestionar los riesgos de seguridad de la información y ciberseguridad asociados a los procesos se debe: identificar qué podría pasar, cuál es su probabilidad de ocurrencia y cuál es el impacto que tendría sobre el negocio. Conoce un ejemplo.

Al gestionar riesgos por demanda, debes tener un documento con información como: fecha, nombre del riesgo, descripción, justificación, caracterización, escenario de riesgo, controles, entre otros datos. Aprende más sobre este escenario aquí.