Una buena evaluación de riesgos de seguridad de la información ayuda a las organizaciones a tomar decisiones más inteligentes sobre cómo proteger sus activos tecnológicos e información y reducir o eliminar el impacto que pueden tener en los negocios.
Un riesgo de seguridad de la información es la potencialidad de una condición existente dentro de la empresa que representa o puede representar daño por ajenos o propios a ella, ya sea intencional o accidentalmente, pero que a fin de cuentas puede provocar algún daño a su información con posibles consecuencias legales, financieras o administrativas que incluso podrían ser irreparables y con la posibilidad de afectar también a sus asociados o clientes.
El riesgo de seguridad en la información más grande es creer que la información está segura, sin verificarlo.
Es frecuente que la empresa que han sufrido algún tipo de daño en su información sea por dos causas principales:
Sucede cuando las empresas CREEN tener un sistema de gestión de la información seguro sin un fundamento concreto que se los confirme.
Este tipo de empresas realizan, cuando más, una vez al año una revisión a su matriz de riesgos y no vuelven a pensar en ella hasta el año siguiente. No ejecutan auditorías internas o cualquier otra evaluación de vulnerabilidad o de comportamientos de su personal para asegurarse de que efectivamente sus políticas, procesos, procedimientos y tecnología cumplen con los criterios de la seguridad de la información necesarios.
Evidentemente, no se preocupan de que un potencial delincuente esté atento a cualquier descuido para entrar a su sistema de gestión de la información.
Esta es la segunda causa de fallas en la seguridad de la información y se presenta cuando el personal no es riguroso en ejecutar siempre las políticas de seguridad de la empresa y van relajando su comportamiento.
Cuando a una persona no le sucede ningún evento de seguridad ya sea en su trabajo o en su vida cotidiana, en donde vive, por donde se pasea, etcétera, va perdiendo la capacidad de atención, se vuelve confiada y relajada porque nunca le ha pasado nada, hasta que, evidentemente, el suceso acontece. Es lo que en el argot de la seguridad se conoce como lo sorprendieron “con la guardia baja”.
¿Qué puede hacerse para disminuir estos riesgos?
La evaluación de riesgos de seguridad de la información es el proceso que consta de identificar, analizar y evaluar los riesgos existentes en una organización dentro de su contexto particular.
Ayuda a garantizar que los controles de seguridad que elija tu empresa para anular o mitigar el riesgo encontrado sean adecuados y a realizar un seguimiento permanente de ellos mediante la implementación de políticas, procedimientos y/o de medios tecnológicos, con el objetivo de disminuir significativamente la posibilidad de que el riesgo sea una realidad.
Sin una evaluación de riesgos para tener presentes tus opciones de seguridad podrías perder tiempo, esfuerzo y recursos al momento de que el riesgo efectivamente ocurra.
El proceso de evaluación de riesgos de seguridad de la información es el siguiente:
No tiene mucho sentido implementar medidas para defenderse contra eventos que es poco probable que ocurran o que no afectarán a tu organización. Una sobre estimación de los riesgos de seguridad puede ser muy perjudicial para tu empresa en cuanto a costos y agilidad.
Por esa razón es que la evaluación de riesgos debe tomar en cuenta las circunstancias reales en la que opera tu empresa y no a ideas irrealistas y suposiciones que solamente van a provocar procesoesclerosis al momento de diseñar e implementar los procesos de seguridad, haciendo de los protocolos sean una molestia innecesaria y permanente.
Del mismo modo, si subestimas o pasas por alto los riesgos que podrían causar daños significativos, te colocas en una posición de vulnerabilidad.
Ante esta dicotomía es que la norma ISO 27001 posee una serie de controles, prácticas y procesos que al implementarlos van a ir colocando a tu empresa en el equilibrio más adecuado de seguridad, agilidad, burocracia y costo que tu empresa requiera.
La norma internacional ISO/IEC 27001:2013 (ISO 27001), ahora actualizada en su versión ISO/IEC 27001:2022 proporciona las especificaciones para un SGSI (Sistema de Gestión de Seguridad de la Información) de mejores prácticas, precisamente con un enfoque basado en la evaluación del riesgo para la gestión de estos analizando tanto a las personas, como a los procesos y la tecnología, para mantener segura la información de tu empresa de forma óptima.
Así mismo, la norma ISO 27001 aporta una gran ayuda en la elección de las medidas de contención, ya que contiene una lista de 93 controles de seguridad, organizados en 4 dominios o macroprocesos, que van desde políticas de acceso físico a instalaciones hasta políticas cibernéticas configuradas en equipos y sistemas de la empresa.
Para comenzar:
Para tomar acción:
De forma permanente:
Te haré énfasis en que la evaluación de riesgos de seguridad de la información debe ser una actividad continua.
Recuerda: Una evaluación de riesgos de seguridad de la información es una instantánea de los riesgos de los sistemas de información de tu empresa en un momento determinado, es por eso por lo que, si no realizas evaluaciones frecuentes con los métodos que te he recomendado, siempre CREERÁS que estás seguro, pero no tendrás la certeza evidente de que efectivamente lo estás.
La norma ISO 27001 te ahorrará muchos problemas, disgustos y costos, date un tiempo de analizar la conveniencia de implementarla en tu empresa.
En Innevo te guiamos con objetividad y experiencia en la identificación, análisis y evaluación de riesgos de seguridad y la selección de controles óptima como parte de la consultoría en ISO 27001. Acércate a nosotros.