ISO 27005: ¿Cómo realizar la gestión del riesgo tecnológico?

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

ISO 27005: ¿Cómo realizar la gestión del riesgo tecnológico?

ISO 27005: ¿Cómo realizar la gestión del riesgo tecnológico?

ISO 27005

ISO 27005

La utilización de la tecnología de la información se ha intensificado en las empresas de forma independiente a la naturaleza y actividad de las mismas. Gracias a la norma ISO 27005 se encuentran en constante evolución adaptándose a las necesidades de las empresas y ofreciendo lugar a otras que se relacionan con las tareas diarias realizadas.

La masificación se ha convertido en blanco de ataques y vías para los mismos. Los riesgos que están asociados a estas se intensifican y transforman por ello se hace necesario crear y adaptar constantemente los medios y métodos usados para conservar la seguridad de la información que las empresas quieren proteger. Para conocer como gestionar el riesgo puedes leer el siguiente post ISO 27005: ¿Cómo identificar los riesgos?

En este punto el desarrollo y utilización de la metodología integrada y ágil sirve para gestionar los riesgos y en especial el tecnológico que es el más importante ya que persigue el fin de minimizar el impacto que pueda causar la violación de alguna de las dimensiones de seguridad.

Hasta el momento el marco que existe para la gestión de los riesgos los conforma el estándar ISO 27005.

De forma adicional este marco hace referencia a la gestión de los riesgos como concepto general y deja de lado el análisis de riesgos específicos. El riesgo que procede de la tecnología puede incidir en las metas y en los objetivos organizacionales y ser la causa de otro tipo de riesgo, ya que sería mucho más intrínseco a la hora de utilizar la tecnología. El daño, la interrupción, la alteración o el fallo derivado de utilizar el TI pueden suponer pérdidas significativas en las empresas, pérdidas financieras, multas o acciones legales, además se puede ver afectada la imagen de la empresa y causar inconvenientes a nivel operativo y estratégico.

Podemos poner el siguiente ejemplo, una entidad financiera colombiana, en febrero de 2011, tuvo que enfrentarse a una caída de la red que produjo la suspensión de las operaciones normales, esto trajo como consecuencia caos en la atención a los usuarios por aproximadamente una hora, además se produjeron pérdidas financieras y se vio afectada la imagen del banco de cara a sus clientes.

Lo sucedido motivó que se desarrollara la metodología propuesta, que permite la gestión del riesgo según el origen tecnológico cuya base son los estándares en ISO 31000 e ISO 27005 de los cuales se llevan a cabo diferentes adaptaciones y especificaciones requeridas para este tipo de riesgo. Además se adoptan e incorporan recomendaciones y buenas prácticas de otras guías y metodologías para la gestión de los riesgos, como puede ser la ISO 27001 y lo que corresponde a la seguridad en gestión de servicios. De esta manera se presenta una forma de ajustar esta metodología a la gestión de continuidad del negocio en los que respecta a la definición de los planes de gestión de incidentes tecnológicos.

Metodología para gestión de riesgo tecnológico

La metodología que se ha diseñado sobre los procesos se ha realizado teniendo en cuenta que esto facilita el entendimiento sobre el funcionamiento de la empresa y la definición de las interacciones para identificar los activos y los riesgos asociados. Además, se debe analizar los procesos que permite obtener una visión global de la empresa y con esto el apoyo que se ha requerido por parte de la dirección de la organización a la hora de mostrar la necesidad que existe de proteger y gestionar los procesos críticos de la empresa.

El trabajo realizado sobre los procesos no se puede entender como un trabajo aislado, ya que la visión que tiene cuenta con el factor humano que será el encargado de realizarlo y desarrollarlos. De esta forma dentro del análisis de procesos se tienen en cuenta las actividades críticas que sustentan estos y a su vez sustentan la cadena de valor que permite ofrecer los diferentes productos y servicios de la empresa. La gestión de riesgos tecnológicos aquí presentada tiene en cuenta la integración con los sistemas de gestión de la empresa por esto su base es la ISO 31000.

Esta metodología trata de alinear la gestión de riesgos bajo el esquema presentado por la empresa, es decir, permite incluir en la gestión de la continuidad de negocio las fases de apoyo, en lo respectivo a la identificación de dependencias claves, activos y procesos críticos, además de las amenazas.

De forma errónea la gestión de continuidad es tomada con un tratamiento de riesgos pero es importante hacer notar que esta última sirve de soporte para la definición de los impactos que pueda producir la no disponibilidad en la empresa.

Un segundo punto de trabajo se encuentra relacionado con todos los activos de soporte de procesos que han sido analizados. Se debe analizar el hardware, software, recursos humanos y físicos. La finalidad de clasificar el análisis de enfocar el estudio sobre los recursos críticos sin extenderse a activos irrelevantes.

Software ISO 27001

El estándar internacional ISO 27001 2013, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un SGSI de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma ISO 27001 2013 presta solución a todas estas cuestiones que se plantean a la hora de implementar un SGSI en una empresa.

 

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…

Loading Facebook Comments ...