¿Por qué gestionar el riesgo TI?

Por María Camila Arévalo J., el 12 de agosto, 2020

5

Las empresas que lleven a cabo la gestión de TI deben considerar tres principios fundamentales: implementación eficaz de las TI, procesos de gobernanza y cultura consciente, esto les proporcionará contar con una gestión eficiente, personal calificado, comprensión de niveles de riesgos, actividades de cumplimiento, reducción de amenazas y utilizar las herramientas adecuadas para generar valor al negocio.

El perfil de riesgo debe estar compuesto por cuatro fundamentos básicos:

  • Nivel de exposición de riesgos al que se encuentra la compañía, es decir los riesgos potenciales e inherentes.
  • Controles relacionados a los proceso de TI, que tienen como fin mitigar las amenazas logrando el nivel de riesgo (riesgo intrínseco).
  • Definir la tolerancia de los riesgos por parte de organización, identificar con cuáles se puede vivir y cuáles tendrían un impacto mayor. 
  • Brecha de riesgo TI. Se refiere al margen que hay entre la tolerancia del riesgo y el riesgo intrínseco. Esto contribuye a la toma de decisiones acerca de los controles que se deben implementar relacionados a la seguridad de la información. 

Y este debe ser visto como un instrumento que permite que las organizaciones conozcan a profundidad cuál es la exposición que tienen ante un riesgo y cuál sería su nivel de toleranciaPor otro lado, también puede ser visto como una herramienta de negociación. 

¿Qué es el riesgo TI?

Es la aplicación de métodos para gestionar los riesgos de tecnología de la información. Lo que quiere decir esto es que permite evaluar las amenazas a las que está expuesta la compañía relacionadas a la operación, sistemas TI, propiedad, usos de datos, entre otros. 

Para tener una gestión eficaz se debe tener en cuenta tres principios:

    • Gobernanza de riesgo: son las políticas eficientes que están relacionadas al riesgos, allí se mezclan los procesos de identificar, evaluar, controlar y monitorear. 
    • Cultura consciente sobre riesgos: darle a conocer a los miembros de la compañía cuál es el protocolo que deben seguir y de qué manera pueden identificar las amenazas a las que puede estar expuesta la empresa.
  • Implantación eficaz de TI: son aquellos riesgos menores, es decir con los que la empresa puede sobrevivir sin ningún problema.

Su misión es administrar las actividades, recursos tecnológicos y actividades de la entidad, con el fin de optimizar el almacenamiento de información y a la vez vigilar y controlar quienes tendrán acceso a ella.

Son pérdidas de derivadas de afectaciones a los componentes tecnológicos de los sistemas de información de la entidad y se identifica en:

  1. En todos los componentes de los Sistemas de Información.
  2. Procesos de tecnología.
  3. Personas que administran la tecnología.

Marcos de referencia

  • ISO 27005: gestión del riesgo de seguridad de la información
  • ISO 27000 – 27001:

Mejores prácticas para preservar la integridad, confidencialidad y disponibilidad de la información.

  • COBIT (Control Objectives for Information and related Technology): es un marco de gobierno de las tecnologías de información que proporciona una serie de herramientas para que la gerencia pueda conectar los requerimientos de control con los aspectos técnicos y los riesgos del negocio. Permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización.
  • ITIL (Infraestructure library – librería infraestructura de TI)
    Mejores prácticas sobre la administración del ciclo de vida de servicios de TI
    Provee guía y prácticas sobre:
    Estrategia del servicio.
    Administración del portafolio de servicio.
    Administración de la demanda.
    Administración financiera.

COMPONENTES CLAVES DE UN PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN

ESTRATEGIA DE SEGURIDAD DE LA INFORMACIÓN

  • Cuáles son los activos de información de la organización?
  • Qué es proteger?

Evaluaciones clave...

  • Evaluación de arquitectura.
  • Evaluación del recurso humano. 
  • Evaluación de las tecnologías.

Gobierno de Seguridad de la Información

  • Establecer y definir responsable de la SI. 
  • Determinar el estado actual. 
  • Evaluar los riesgos de SI.
  • Determinar los controles y realizar evaluaciones técnicas.
  • Contar con el respaldo de la gerencia.
  • Evaluar y medir el desempeño.

Costo de prevención: el costo de implementación de los medios para prevenir los efectos del desastre.
Probabilidad del daño: la posibilidad de ocurrencia de un evento perjudicial.
Magnitud del daño: la cantidad del daño financiero que ocurriría si sucede un desastre.
Evaluar la efectividad de controles: flujo de comunicaciones relacionadas con la seguridad y proveedores externos.
Escenarios de desastre basados en riesgos severos

  • Identificar las funciones de negocio: utilizar la siguiente lista cuando se considere un impacto de interrupción en cada área de negocio.
  • Impactos: financiero, clientes y proveedores, relaciones públicas(reputación, credibilidad), legal, requerimientos/ regulatorio, medio ambiente, operacional, de personal
  • Financiero: es parte de una cadena de suministros que puede afectar a otros?

    Descargue el eBook gratuito sobre seguridad de la información de acuerdo a ISO 27001

 

Temas:Riesgos CiberneticosRiesgos TI

Comentarios