4 minute read
Gestión
from Revista Consultoría, Marzo 2021 "2021: Recuperación Económica acompañada de riesgos monetarios"
Cómo gestionar el riesgo de ciberseguridad con los estándares ISO/IEC 27000
Por: Pablo Corona Fraga, Director Corporativo de Sistemas de Gestión. NYCE Sistemas de Gestión. pcoronaf@nyce.org.mx www.sige.org.mx @pcoronaf Cuando se habla de seguridad de la información y riesgos de ciberseguridad, la ganancia se obtiene de antemano y la pérdida potencial permanece inactiva, hasta que la información se corrompe o se pierde, los servicios no están disponibles, alguien tiene acceso no autorizado a información confidencial o puede controlar las transacciones comerciales.
En realidad, estos aspectos definen tanto la probabilidad del riesgo como el tipo de medidas que se pueden implementar para reducir esta probabilidad. Entonces, si tomamos el planteamiento de la tecnología, podemos medir qué tan expuesta está mapeando, desde dónde se puede ingresar, ya sea desde un acceso físico a las instalaciones, a través de una red local o internet.
Además, es más probable que se materialice un riesgo si la cantidad de usuarios o dispositivos es alta o no están autorizados. Estos pueden usarse como criterios para medir el riesgo y también brindar orientación sobre la identificación de cada usuario y dispositivo, identificar y reducir la cantidad de
componentes del sistema expuestos fuera de la organización e implementar sistemas de registro y monitoreo para detectar actividades inusuales.
Por lo tanto, administramos los riesgos para maximizar las ganancias y reducir las pérdidas, por lo que comprender qué tan grande es el beneficio de introducir un habilitador de negocio nos ayudará a asignar la cantidad adecuada de recursos para administrar y controlar los riesgos derivados de esos habilitadores.
Gestión de seguridad
Encontrar esa cantidad adecuada de recursos es clave para la gestión de riesgos y es un equilibrio difícil de encontrar. Demasiados controles y el negocio pueden obstruirse, ralentizarse o sacarlo del mercado. Pero muy pocos controles pueden hacer que la organización sea frágil, expuesta y vulnerable. La gestión de riesgos requiere comenzar desde lo más alto de la organización, para comprender las necesidades y expectativas de las partes interesadas para establecer objetivos estratégicos de negocio.
Este mecanismo es lo que llamamos un Sistema de Gestión de Seguridad de la Información / ciberseguridad, que está diseñado para alinear todos estos diferentes puntos de vista, perfiles, necesidades, expectativas, objetivos, actividades, indicadores, etc. de una manera integral, que maximiza las oportunidades y reduce los riesgos asociados con su persecución. El ISO/IEC 27001 es la referencia más utilizada para contar con este mecanismo.
Este sistema de gestión es una herramienta que crea una estrategia de seguridad, trabajando de una forma similar a la diversificación del portafolio de inversiones, con controles en diferentes niveles de la organización y de diferente tipo -ya sean administrativos, físicos o lógicos- implementando controles para identificar, proteger, detectar, responder y recuperarse antes, durante
y después de las incidencias, evitando trasladar la seguridad completa en un solo control o grupo de personas, alineando las necesidades y expectativas de los diferentes niveles de la organización con los objetivos de negocio.
Teniendo en cuenta que este proceso está en constante mejora y puede presentar fallas, especialmente en las etapas más jóvenes del establecimiento del sistema de gestión, contar con una lista de controles contra las que se deben comparar los obtenidos de la evaluación de riesgos, es un control en sí mismo, porque cualquier omisión de controles que el proceso de evaluación de riesgos pueda haber cometido, puede incluirse después con esta comparación, por lo que el Sistema de Gestión de Seguridad de la Información incluye un requisito para establecer una Declaración de Aplicabilidad, que comúnmente se ha entendido como una lista o subconjunto de esos controles en ISO/IEC 27001 anexo A (que proviene de ISO/IEC 27002). Esta declaración de Aplicabilidad es alimentada por diferentes fuentes, tales como los resultados del análisis de riesgo, evaluaciones de impacto en la privacidad, controles obligatorios y medidas establecidas en requisitos legales o contractuales, otros marcos o referencias de control implementados y luego complementados con los del Anexo A o estándares específicos del sector como: ISO/IEC 27011, empresas de Telecomunicaciones. ISO/IEC 27017, proveedores de Servicios de Nube. ISO/IEC 27018, proveedores de Servicios de Nube que procesan Datos Personales. ISO/IEC 27019, empresas de Generación, Transmisión y Distribución de energía eléctrica. ISO/IEC 27701, protección de datos personales u otro tipo de directrices y marcos como ENISA Cloud Security Guide para PYMES o el marco de ciberseguridad NIST (NIST Cybersecurity Framework).
De esta forma contamos con un sistema de gestión completo que está:
• Alineado con las necesidades comerciales. • Considera los requisitos de las partes interesadas. • Establece un proceso integral de evaluación de riesgos de acuerdo con el contexto organizacional. • Incluye controles y medidas de diferentes fuentes para construir una estrategia única, resistente y continuamente mejorada.
La certificación de un Sistema de Gestión de Seguridad de la información basado en ISO/IEC 27001, es el mecanismo que brinda seguridad y confianza sobre las acciones en materia de seguridad y ciberseguridad que ha realizado la organización, mejorando la confianza de socios, accionistas y directivos, así como de clientes y autoridades.
