Por. Nicandro López – Desarrollo Comercial
Típicamente, las estrategias de seguridad de información se han venido definiendo y desarrollando principalmente con base a los resultados que arrojan diferentes evaluaciones y al análisis de riesgo tecnológico que realizan las organizaciones. Otro enfoque que se le puede dar a la seguridad de información es basar sus estrategias e iniciativas en los resultados de un análisis de riesgo operacional.
Con este enfoque lo que se espera es que los titulares de las diferentes unidades de negocio y operativas y/o propietarios de procesos, conozcan, comprendan y asuman su rol y responsabilidad en el uso y manejo de la información que obtienen, generan, procesan, resguardan y transmiten.
Bajo este esquema vemos mayores posibilidades que empresas como las Pymes, puedan definir e implementar estrategias y medidas de seguridad de información suficientes y adecuadas con mayor éxito, sobre todo aquellas que están certificadas en la norma ISO9001:2015 Sistemas de Gestión de Calidad, por el hecho de ser un sistema con un enfoque basado en procesos y en riesgos, y que adoptan el ciclo planear-hacer-verificar-actuar.
Algunos de los beneficios de basar la seguridad de información en el análisis del riesgo operacional, son los siguientes:
- Mayor comprensión y aceptación por parte de propietarios de los procesos de negocio y de operación, al no percibir la seguridad como un tema meramente tecnológico.
- Es posible alinear e incorporar las iniciativas de seguridad al sistema de gestión de calidad.
- Se puede adaptar a cualquier tipo de organización, de acuerdo a su tamaño o sector.
- Es escalable en el tiempo, según los recursos humanos, técnicos y económicos disponibles.
Los tres principales factores detonantes del riesgo operacional son los procesos, las personas y la tecnología, que de materializarse pueden derivar en pérdidas financieras.
Procesos. Las pérdidas se originan por la interrupción de los procesos críticos del negocio y operativos por su mal diseño y/o mal funcionamiento. Las medidas que se sugieren, son:
- Mapeo de procesos de negocio y operativos.
- Identificación de procesos críticos que más están soportados por la tecnología.
- Identificación de amenazas externas sobre el entorno en el que opera la entidad.
- Identificación y evaluación de riesgos operativos inherentes a los procesos críticos.
- Considerar la seguridad de información como un proceso, no como un proyecto.
- Definición y documentación de políticas y procesos de seguridad, incluidos los relacionados con la gestión de accesos y la gestión de incidentes.
Personas. Las pérdidas ocurren cuando se presentan errores, negligencias o fraudes internos y externos, entre otras causas. Las medidas recomendadas, son:
- Pruebas de ingeniería social tipo phishing.
- Campañas de concientización hacia el personal interno y externo.
- Capacitación al personal sobre las mejore prácticas de seguridad de información.
- Asignación de funciones de seguridad de información a personas y/o áreas específicas.
- Buscar la certificación del personal responsable de la seguridad en la norma ISO27001 SGSI.
Tecnología. Las pérdidas se ocasionan por fallas e interrupción de los sistemas y/o tecnologías de información y por lo tanto de los servicios que ofrecen. Las medidas sugeridas, son:
- Realizar una evaluación de la seguridad basada en el Marco NIST de Ciberseguridad o en la norma ISO27001 y gestionar el cierre de brecha.
- Identificación y evaluación de riesgos tecnológicos asociados a las diferentes tecnologías.
- Realizar una evaluación tecnológica que incluya un análisis de vulnerabilidades y pruebas de penetración, y gestionar el cierre de las vulnerabilidades encontradas.
- Realizar un análisis de impacto al negocio y con base a su resultado definir e implementar estrategias de continuidad operativa, así como un plan de continuidad de negocio y un plan de recuperación ante desastres, acorde a las características de la entidad.
- Definir e implementar soluciones tecnológicas que apoyen las estrategias de seguridad.