La seguridad de la información basada en el análisis del riesgo operacional

Por. Nicandro López – Desarrollo Comercial

Típicamente, las estrategias de seguridad de información se han venido definiendo y desarrollando principalmente con base a los resultados que arrojan diferentes evaluaciones y al análisis de riesgo tecnológico que realizan las organizaciones. Otro enfoque que se le puede dar a la seguridad de información es basar sus estrategias e iniciativas en los resultados de un análisis de riesgo operacional.

Con este enfoque lo que se espera es que los titulares de las diferentes unidades de negocio y operativas y/o propietarios de procesos, conozcan, comprendan y asuman su rol y responsabilidad en el uso y manejo de la información que obtienen, generan, procesan, resguardan y transmiten.

Bajo este esquema vemos mayores posibilidades que empresas como las Pymes, puedan definir e implementar estrategias y medidas de seguridad de información suficientes y adecuadas con mayor éxito, sobre todo aquellas que están certificadas en la norma ISO9001:2015 Sistemas de Gestión de Calidad, por el hecho de ser un sistema con un enfoque basado en procesos y en riesgos, y que adoptan el ciclo planear-hacer-verificar-actuar.

Algunos de los beneficios de basar la seguridad de información en el análisis del riesgo operacional, son los siguientes:

  • Mayor comprensión y aceptación por parte de propietarios de los procesos de negocio y de operación, al no percibir la seguridad como un tema meramente tecnológico.
  • Es posible alinear e incorporar las iniciativas de seguridad al sistema de gestión de calidad.
  • Se puede adaptar a cualquier tipo de organización, de acuerdo a su tamaño o sector.
  • Es escalable en el tiempo, según los recursos humanos, técnicos y económicos disponibles.

Los tres principales factores detonantes del riesgo operacional son los procesos, las personas y la tecnología, que de materializarse pueden derivar en pérdidas financieras.

 

Procesos. Las pérdidas se originan por la interrupción de los procesos críticos del negocio y operativos por su mal diseño y/o mal funcionamiento. Las medidas que se sugieren, son:

  • Mapeo de procesos de negocio y operativos.
  • Identificación de procesos críticos que más están soportados por la tecnología.
  • Identificación de amenazas externas sobre el entorno en el que opera la entidad.
  • Identificación y evaluación de riesgos operativos inherentes a los procesos críticos.
  • Considerar la seguridad de información como un proceso, no como un proyecto.
  • Definición y documentación de políticas y procesos de seguridad, incluidos los relacionados con la gestión de accesos y la gestión de incidentes.

 

Personas. Las pérdidas ocurren cuando se presentan errores, negligencias o fraudes internos y externos, entre otras causas. Las medidas recomendadas, son:

  • Pruebas de ingeniería social tipo phishing.
  • Campañas de concientización hacia el personal interno y externo.
  • Capacitación al personal sobre las mejore prácticas de seguridad de información.
  • Asignación de funciones de seguridad de información a personas y/o áreas específicas.
  • Buscar la certificación del personal responsable de la seguridad en la norma ISO27001 SGSI.

 

Tecnología. Las pérdidas se ocasionan por fallas e interrupción de los sistemas y/o tecnologías de información y por lo tanto de los servicios que ofrecen. Las medidas sugeridas, son:

  • Realizar una evaluación de la seguridad basada en el Marco NIST de Ciberseguridad o en la norma ISO27001 y gestionar el cierre de brecha.
  • Identificación y evaluación de riesgos tecnológicos asociados a las diferentes tecnologías.
  • Realizar una evaluación tecnológica que incluya un análisis de vulnerabilidades y pruebas de penetración, y gestionar el cierre de las vulnerabilidades encontradas.
  • Realizar un análisis de impacto al negocio y con base a su resultado definir e implementar estrategias de continuidad operativa, así como un plan de continuidad de negocio y un plan de recuperación ante desastres, acorde a las características de la entidad.
  • Definir e implementar soluciones tecnológicas que apoyen las estrategias de seguridad.

 

Nicandro López Pompa – Desarrollo Comercial
Licenciado en Administración con especialidad en Banca y Finanzas. Tiene 25 años de experiencia en el sector bancario en donde cubrió y escaló diferentes posiciones en diferentes bancos y áreas como: crédito comercial y de empresas, normatividad, contraloría de crédito y financiera, así como auditoría, hasta llegar a ser Director Divisional en BBVA.
A partir del 2008 se ha venido desempeñando como consultor independiente y recientemente es Representante Comercial en HK México, atrayendo, gestionando y desarrollando clientes de diferentes sectores, regulados y no regulados.

Noticias y Novedades

Artículos Relacionados

Novedades
hkmexico

OWASP A4:2021 Diseño Inseguro

Hoy en día, es común hablar de buenas prácticas de desarrollo de software en las distintas aplicaciones que manejamos para llevar a cabo nuestras tareas,

Leer más »