Riesgos de seguridad

Los riesgos de seguridad en la información en la actualidad son de suma importancia para las organizaciones. Estos son algunos conceptos que deben ser conocidos a lo largo de la organización

  • Definición de riesgo.
  • Alineación de Objetivos de Seguridad con Objetivos Estratégicos
  • Cumplimiento con el Sistema de Gestión de Seguridad de la Información (SGSI)
  • Afectaciones a la disponibilidad, integridad y confidencialidad de la información afectan el logro de objetivos estratégicos

El entender es el primer paso para PODER desarrollar estrategias contra los riesgos y tener la oportunidad de convertirlos en ventajas competitivas frente a otras organizaciones.

Z

ANTECEDENTES

Hace algunos años, se decía que se debía enunciar o declarar un riesgo de seguridad de la información según la definición prevista en ISO 27005:2008. Norma que se tomaba como referencia para diseñar e implementar un SGSI según ISO 27001:2005. Dicha definición nos indicaba que un riesgo de seguridad de la información es la probabilidad que una amenaza aproveche alguna(s) vulnerabilidad(es) y cause algún daño en la organización. Bueno, a partir de la publicación de ISO 27000:2014 dicha definición cambia sustancialmente y le da, explícitamente, sentido a la gestión de riesgos de seguridad de la información.
Z

ANÁLISIS

La nueva versión de ISO 27001:2013, que conjuga con ISO 27000:2014 e ISO 31000:2009, nos dice que dentro del contexto de un SGSI un riesgo de seguridad de la información es el efecto de la incertidumbre sobre el logro de los objetivos de seguridad de la información. Se precisa que el efecto puede ser positivo o negativo.

Esta precisión en la definición es muy buena porque hace que todos tengamos claro cuál es la finalidad de gestionar riesgos de seguridad de la información y su relevancia dentro del SGSI. No debemos olvidar que forman parte de la política del SGSI los objetivos de seguridad de la información, por lo tanto, de no cumplirse con los objetivos tampoco se estaría cumpliendo con la política del SGSI. Los objetivos de seguridad de la información deben definirse a niveles adecuados dentro de la organización y deben estar alineados a los objetivos estratégicos de la organización.

Asimismo, esta definición nos compromete a que incluyamos dentro de los criterios de evaluación del riesgo los objetivos de seguridad de la información a fin de determinar si lo que estamos identificando y analizando como riesgo de seguridad de la información realmente lo es o no. Recomendamos que, como parte de los criterios de evaluación de riesgos de seguridad de la información, también se incluya los atributos de información que se verían afectado (confidencialidad, integridad o disponibilidad).
Z

CONCLUSIÓN

Un riesgo de seguridad de la información sólo lo será si y sólo si la ocurrencia del mismo afecta el logro de los objetivos de seguridad de la información, positiva o negativamente. En nuestras matrices de riesgos debemos registrar la trazabilidad entre los riesgos y la afectación a los objetivos de seguridad de la información.

AUTOR:
Morán, E. (2017)