Saltar al contenido principal
SGSI

¿Cómo gestionar los activos de información según SGSI?

SGSI

SGSI

El objetivo principal del SGSI ha sido establecer los alineamientos para una adecuada gestión de todos los recursos tecnológicos y de esta forma se puede:

  • Controlar el grado de exposición a potenciales amenazas o vulnerabilidades sobre los activos de información
  • Prevenir la ocurrencia de daños en la imagen de la organización
  • Propiciar un esquema de mejora continua en el ambiente de control interno
  • Disminuir la probabilidad de ocurrencia de riesgos en los activos de información
  • Disminuir el impacto de los riesgos sobre los activos de información
  • Observar los requisitos normativos vigentes
  • Desarrollar acciones correctivas mediante los planes de mitigación
  • Favorecer la mejora continua de los procesos tecnológicos
  • Definir las estrategias de seguridad acordes a las necesidades de cada activo en relación a su nivel de riesgo e importancia relativa al negocio del banco

Es importante clasificar los activos de información, para conocer cómo hacerlo puedes leer el siguiente artículo ¿Cómo clasificar los activos de seguridad en un SGSI?

La metodología no se limita a la administración de los riesgos, sino que permite hacer una adecuada gestión de los activos de información. Se incorpora la posibilidad de integrar la gestión de riesgos tecnológicos a la gestión de riesgos operacionales.

En materia de gestión de riesgos tiene la particularidad de orientar el análisis de riesgos hacia amenazas concretas o potenciales y no se basa en un listado elaborado según los riesgos. Así la metodología permite clasificar a los activos de información según su nivel de exposición al riesgo y la importancia relativa al negocio. La clasificación permite conocer la sensibilidad al riesgo de cada activo, además se debe identificar, de forma oportuna, la necesidad de mejora para los activos clasificados como altamente críticos. A partir de este conocimiento se definen e implantan los planes de mitigación tendientes a mejorar el nivel de sensibilidad del activo para eliminar el riesgo.

La definición de los planes de mitigación ayuda a alinear los proyectos tecnológicos optimizando la priorización y a asignar dicho presupuestos. Se debe facilitar la determinación de las necesidades de inclusión de los proyectos en los planes operativos de la tecnología.

La metodología fue implantada sin utilizar una aplicación que le dé soporte, luego de su primer ciclo de aplicación de la gerencia en cuanto al SGSI. Existen herramientas que permiten implementar la norma ISO 27001 con la suficiente flexibilidad para adaptarse a cambios en las escalas de medición de los riesgos sin ningún tipo de dificultad.

La metodología se divide en dos capítulos. El capítulo I contempla las consideraciones a tener en cuenta en la clasificación del activo de información y el capítulo II ofrece consideraciones a tener en cuenta para el análisis y la gestión de los riesgos en los activos de información. El proceso de gestión de activos se divide en cinco fases:

  • Identificación de activos (Fase I). Busca identificar los activos de información, para ello se deberá establecer lo que no es un activo de información. La tipificación de activos debe además contemplar la unificación del activo de todos los recursos, deben tener características comunes y que la información sea administrada, procesada y almacenada.
  • Clasificación de activos (Fase II). El objetivo es analizar cada activo de información para determinar los niveles de: criticidad, disponibilidad y confidencialidad. Los parámetros a tener en cuenta para medir estos valores se definen en función a la importancia relativa que la información de activos tiene para el negocio. En esta etapa se obtiene la clasificación de cada uno de los activos de información. La misma debe mantenerse actualizada, dado que los continuos cambios en el mercado impactan sobre dicha clasificación aumentando o disminuyendo la importancia relativa al negocio. Por ello el proceso incluye los mecanismos para su actualización periódica.
  • Análisis del riesgo en los activos de información (Fase III). Para cada activo de información se lleva a cabo la autoevaluación de riesgos que consta de las siguientes etapas: 1. Identificación de los riesgos, 2. Medición de riesgos.
  • Gestión de activos (Fase IV). Contempla la clasificación de los activos, que sirve para la determinación del grado de sensibilidad del activo con respecto al riesgo. Para determinarla se utilizan todos los resultados de la clasificación y el análisis de riesgo del activo. La confección de reportes para la comunicación de la situación de la organización con respecto a los riesgos. La elaboración del plan de mitigación integral. En esta fase se emiten los informes siguientes: informe de riesgo, informe de logros, informe de resultados y plan de mitigación integral. Este último incluye las estrategias para mitigar los riesgos y mejorar la sensibilidad de los activos, que se eleva al directorio para su conocimiento y aprobación.
  • Seguimiento del plan de mitigación integral (Fase V). Comprende el mecanismo de control de cumplimiento de los planes de mitigación aprobados. Ello permite detectar desvíos de forma temprana pudiendo alertar a los altos niveles gerenciales del impacto de estos desvíos en relación con la sensibilidad del activo que se desea proteger.

Resultados

Es necesario indicar que se identificaron más de 300 activos de información sobre los que se aplicó la metodología. Con la aplicación se optimizaron y generaron controles sobre los activos de información reduciéndose su nivel de sensibilidad. Del resultado sobre la clasificación surgió que un 17% de los activos se encuentran en un nivel de exposición al riesgo. Con la implantación de los planes de mitigación en 2011 se consiguió mejorar la sensibilidad de los mismos. La implementación de la metodología le permitió:

  • Identificar la situación real de los activos
  • Definir herramientas gráficas que permiten mantener informadas a las altas autoridades del nivel de vulnerabilidad
  • Aprovechar al máximo la información obtenida de la gestión de riesgo
  • Definir e implantar planes de mitigación para mejorar el nivel de sensibilidad del activo
  • Optimizar la priorización y presupuesto de los proyectos del plan de mitigación definidos
  • Mejorar el ambiente de control interno optimizando los controles y creando nuevos controles sobre los activos de información
  • Mejorar el nivel de cumplimiento
  • Mejora el nivel de servicio de soporte brindado por la gerencia de la organización
  • Sustenta la toma de decisiones
  • Mejorar el nivel de prestación de servicio a los clientes

Software ISO 27001

El estándar internacional ISO 27001 2013, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un SGSI de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma ISO 27001 2013 presta solución a todas estas cuestiones que se plantean a la hora de implementar un SGSI en una empresa.

Descargue el e-book fundamentos de gestión de Seguridad de la Información
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Volver arriba