ESTRATEGIA DE SEGURIDAD

 


Una estrategia de seguridad delineada por decisiones basadas en riesgos le permite a una compañía desarrollar metas de seguridad más prácticas y realistas y emplear sus recursos de una manera más efectiva. También brinda cumplimiento, no como un fin en sí mismo, sino como una consecuencia natural de un planteamiento de seguridad fuerte y optimizado.

Aunque una estrategia de seguridad basada en riesgos requiere de una planeación minuciosa, así como de monitoreo y evaluación permanentes, no tiene por qué ser un proceso complejo en demasía. Hay cinco pasos clave para implementar la seguridad basada en riesgos y, aunque consumen cierto tiempo, alinearán la seguridad con las metas de la compañía.

 

Paso 1: Avalúo de los activos

Determine cuáles son los activos de información clave de la compañía, dónde están y quién los tiene. Mire más allá de las características materiales para determinar su valor. Incluya cualquier impacto al negocio y costos asociados con la confidencialidad, integridad o disponibilidad de un activo comprometido dentro de una evaluación, tales como una ganancia perdida por el colapso del sistema de registro de pedidos o el daño en la reputación causado por el hackeo de un sitio web.

Evaluar los activos de esta manera asegura que a aquéllos que son los más importantes para la continuidad diaria de la empresa se les dé la máxima prioridad cuando se trate de seguridad.

Paso 2: Identificación de amenazas

A continuación, identifique quién podría querer robar o dañar los activos identificados en el paso uno, así como por qué y cómo podrían hacerlo. Esto puede incluir competidores, naciones hostiles, empleados molestos o clientes inconformes o descontentos, terroristas y activistas, así como amenazas no hostiles, tales como un empleado sin pericia. También considere la amenaza que representan los desastres naturales como inundaciones e incendios.

Cada amenaza identificada precisa que le sea asignado un nivel de amenaza basado en la probabilidad de que ocurra. La probabilidad de que un escenario en particular ocurra requerirá aportaciones por parte de los administradores del negocio para proveer conocimiento específico del sector que añadir a las propias evaluaciones de amenazas del equipo de seguridad.

 

Paso 3: Identificación de vulnerabilidades

Una vulnerabilidad es una debilidad que una amenaza puede explotar para abrir una brecha en la seguridad y robar o dañar activos clave. Durante este paso, las pruebas de penetración y las herramientas automatizadas de escaneo de vulnerabilidad pueden ayudar a identificar las vulnerabilidades en los programas y la red de trabajo.

Note que las vulnerabilidades físicas también deben ser tomadas en cuenta. ¿Se encuentran patrullados y seguros los perímetros? ¿Son revisados los extintores contra incendios periódicamente? ¿Se prueban los sistemas del generador de emergencia?

Las vulnerabilidades asociadas con los empleados, contratistas y proveedores también deben ser consideradas –ya que estos grupos son susceptibles a los ataques de ingeniería social.

 

Paso 4: Perfil de riesgo

Una vez que los activos de una organización, las amenazas y las vulnerabilidades han sido identificados, el perfil de riesgo puede comenzar. El riesgo puede ser considerado como la probabilidad de que una amenaza aproveche una vulnerabilidad, resultando así en un impacto al negocio. El proceso de perfil de riesgo evalúa los controles y protecciones existentes y mide el riesgo para cada combinación de activo-amenaza-vulnerabilidad y luego le asigna un puntaje de riesgo. Estos puntajes están basados en el nivel de amenaza y el impacto en la compañía si el riesgo de verdad ocurriese.

El enfoque basado en riesgos le permite a una empresa priorizar correctamente las vulnerabilidades que ha identificado y concentrar sus esfuerzos en los riesgos que son más significativos para sus operaciones.

 

Paso 5: Tratamiento de riesgos

Los riesgos van desde aquéllos lo suficientemente bajos como para que una compañía pueda admitirlos sin un impacto adverso hasta aquéllos tan severos que deben ser evitados a toda costa. Una vez que cada riesgo ha sido evaluado, una decisión debe ser tomada para tratarlo, transferirlo, tolerarlo o eliminarlo. Cada decisión debe ser documentada junto con las razones que llevaron a ella. Repita el proceso para cada escenario de amenaza de tal suerte que los recursos puedan ser aplicados a los riesgos que probablemente tendrán el efecto más significativo en el negocio. Una vez que estas decisiones han sido implementadas, lleve a cabo simulacros de amenazas clave para asegurarse de que los nuevos controles de seguridad realmente mitiguen los riesgos más peligrosos.

Comentarios

Publicar un comentario

Entradas populares de este blog

LEGISLACIÓN NACIONAL E INTERNACIONAL Y LOS DELITOS INFORMÁTICOS

Imagen
  Según Luciano Saellas en su artículo titulado Delitos Informáticos – ciberterrorismo, define “Delitos Informáticos” como aquella conducta ilícita susceptible de ser sancionada por el derecho penal, que hacen uso indebido de cualquier medio informático.  En un primer momento, los países trataron de encuadrar estos hechos en figuras típicas de carácter tradicional, como fraude, falsificaciones, estafas, robo, hurto, sabotaje, etc. De esta manera establecer un criterio único o un concepto unificado para poder manejar un solo concepto para cada tipo de delito.  Los países y las organizaciones internacionales se han visto en la necesidad de legislar sobre los delitos informáticos, debido a los daños y perjuicios que le han causado a la humanidad.  Seguridad informática se considera entonces es la preparación de las instancias técnicas de una organización para actuar y resguardar el efecto que dicho incidente puede ocasionar.  En este artículo se pretende da...
Leer más

POLÍTICAS DE SEGURIDAD INFORMÁTICA

Imagen
  Políticas de seguridad Las políticas de seguridad informática consisten en una serie de normas y directrices que permiten garantizar la confidencialidad, integridad y disponibilidad de la información y minimizar los riesgos que le afectan.  Una política de seguridad se define a alto nivel, esto es, qué se debe proteger y cómo, es decir, el conjunto de controles que se deben implementar. Esta se desarrolla en una  serie de procedimientos e instrucciones técnicas que recogen las medidas técnicas y organizativas que se establecen para dar cumplimiento a dicha política. Entrando más en detalle, el cuerpo normativo de seguridad de la información de una organización consta principalmente de las siguientes políticas y procedimientos: Buenas prácticas El documento de buenas prácticas de Seguridad de la Información —puede ser un documento específico, cláusulas anexas a los contratos de los empleados, etc.— debería recoger, entre otras cosas, el  uso aceptable d...
Leer más

EVALUACIÓN DE RIESGOS

Imagen
  Evaluación de riesgo  es uno de los pasos que se utiliza en un proceso de  gestión de riesgos . El  riesgo   R  se evalúa mediante la  medición  de los dos parámetros que lo determinan, la magnitud de la pérdida o daño posible  L , y la probabilidad  p  que dicha pérdida o daño llegue a ocurrir   Actualmente se reconoce que la evaluación de riesgos es la base para una gestión activa de la seguridad y la salud en el trabajo. Es obligación del empresario: -Realizar una evaluación inicial de riesgos. -A partir de esta, planificar la acción preventiva.   La evaluación de los riesgos laborales: -Es el proceso dirigido a estimar la magnitud de aquellos riesgos que no hayan podido evitarse. -Obteniendo la información necesaria para que el empresario esté en condiciones de tomar una decisión apropiada sobre la necesidad de adoptar medidas preventivas y, en tal caso, sobre el tipo de medidas que deben adoptarse...
Leer más