Saltar al contenido principal

Mitigación de riesgos

Estrategias para la mitigación de los riesgos de Seguridad de la Información

Portada » Blog Calidad y Excelencia » Estrategias para la mitigación de los riesgos de Seguridad de la Información

Riesgos de Seguridad de la Información

La gestión de riesgos se trata de identificar y proteger los activos valiosos de una organización. Los procedimientos de gestión de riesgos son procesos fundamentales para preparar a las organizaciones para un futuro ataque de ciberseguridad, para evaluar la resistencia de los productos y servicios a posibles ataques antes de comercializarlos y para prevenir el fraude en la cadena de suministro.

Los riesgos deben gestionarse porque las amenazas pueden tener consecuencias sustanciales para la organización o incluso amenazar su existencia. Pero ¿qué es el riesgo?

  • Es el efecto de la incertidumbre sobre los objetivos (ISO 31000:2018).
  • Efecto sobre la incertidumbre: Directivas ISO, Parte 1, Anexo SL, Apéndice 2]

La gestión de riesgos, por su parte, incluye actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. Una parte fundamental de este proceso es la evaluación de riesgos, que es un proceso general de identificación de riesgos, análisis de riesgos y evaluación de riesgos. Los riesgos se pueden mitigar, transferir y aceptar.

La mitigación de riesgos es la respuesta que abordaremos para manejar los riesgos identificados. Los estándares de gestión de riesgos como ISO/IEC 27005 o EN 303 645 son ejemplos útiles y nos indican qué hacer.

Cuando una organización tiene la intención de lograr la conformidad con los requisitos de un estándar de sistema de gestión como en ISO/IEC 27001:2017, los requisitos que abordan la gestión de riesgos se pueden encontrar en estas cláusulas:

  • 6.1 Acciones para abordar riesgos y oportunidades
  • 8.2 Evaluación de riesgos de seguridad de la información
  • 8.3 Mitigación de riesgos de seguridad de la información.

Descárgate el e-book Guía para la identificación, evaluación y gestión de Riesgos Corporativos

Objetivos de la gestión de riesgos

El principal objetivo de la gestión de riesgos dentro de una organización es determinar las posibles incertidumbres o amenazas, proteger contra las consecuencias resultantes y permitir la consecución de los objetivos empresariales.

La gestión de riesgos puede abordar tipos individuales de riesgos, como el riesgo empresarial, el riesgo de mercado, el riesgo crediticio, el riesgo operativo, el riesgo de proyecto, el riesgo de desarrollo, el riesgo de la cadena de suministro, el riesgo de infraestructura, los riesgos de componentes o varios de los tipos de riesgo enumerados o todos ellos. Esta lista no es exhaustiva y, según el tipo de negocio que tenga una organización, pueden existir tipos de riesgos adicionales y ser relevantes.

 

3 estrategias clave para la mitigación de riesgos

  • Magerit: es una metodología muy completa que permite orientar los esfuerzos para la gestión de riesgos de seguridad de la información de forma estructurada. Viene preconfigurado dependiendo del tipo de activo y tecnología, además incluye los riesgos más típicos de cada activo. Es una ventaja importante porque permite inmediatamente reconocer las características del riesgo y, en consecuencia, la forma de cómo enfrentarlos.
  • ISO/IEC 27005: tiene una estructura que es muy coherente con la norma ISO 31000, también permite hacer una asociación entre amenazas y vulnerabilidades, que hace que la gestión sea más coherente en cuanto a que no se pueden evitar las amenazas, pero sí se pueden gestionar las vulnerabilidades. Las características que tiene la guía es que es muy generalista, pero a pesar de eso permite orientar para encontrar vulnerabilidades más precisas con apoyo de otras tecnologías o bases de datos, por ejemplo, las bases de datos de vulnerabilidades que se publican cada cierto tiempo o con el uso de sistemas como SIEM.
  • COBIT: es una de las estrategias más robustas, y esto lo hace muy bueno, pero requiere competencias muy específicas de las personas que lo ejecutan y de todo un despliegue de las buenas prácticas y enfoque COBIT para que sea efectivo. Si esto se hace, la organización tendrá una capacidad de respuesta de muy alto nivel y adecuado a las características cambiantes del entorno. De las 3 estrategias, esta es la más difícil de implementar, pero también una vez que una organización las logra implementar son de muy alto valor porque su capacidad de respuesta está muy adecuada a la dinámica del entorno actual.

 

¿Con cuál nos quedamos? Nosotros tenemos nuestras preferencias pero en cada organización se deberá seleccionar la que mejor se adapte a la cultura organizacional y la tecnología empleada para la gestión de riesgos.

 

Software ISOTools para Mitigación de Riesgos

Sea cual sea la estrategia empleada, será necesario el uso de tecnología que permita hacer más eficiente el Sistema de Gestión de Riesgos, sean estos riesgos del tipo que sean. Para ello, ISOTools provee a las organizaciones de tecnología y buenas prácticas basadas en la experiencia de más de 25 años ayudando a empresas de todo el mundo a ser más eficientes, ágiles y sostenibles.

Gracias a las herramientas adecuadas, como el software para la gestión de riesgos de Seguridad de la Información  ISOTools, es posible automatizar y sistematizar esta metodología de acuerdo con la organización y reducir en gran medida los recursos necesarios para su utilización.

Puede inscribirse en la demostración semanal que celebramos de forma gratuita para conocer el sistema y resolver las dudas que puedan surgir en este enlace.

Guía para la identificación, evaluación y gestión de Riesgos Corporativos

¿Desea saber más?

Entradas relacionadas

Gestión De Riesgos Estratégicos
Gestión de Riesgos Estratégicos en la organización. Cómo mantener la estrategia en el tiempo.

Gestión de Riesgos Estratégicos La gestión de riesgos estratégicos es el proceso de identificar, evaluar y gestionar los…

Ver más
Como Ayuda La ISO 45001 En La Prevención De Riesgos Laborales
¿Cómo ayuda la ISO 45001 en la Prevención de Riesgos Laborales?

Prevención de Riesgos Laborales La Seguridad y Salud en el trabajo es un tema fundamental en toda organización,…

Ver más
Control De Riesgos
Control de riesgos y productividad. Cómo encontrar el equilibrio

Control de Riesgos La gestión de riesgos implica la creación de valor y la protección de este. No…

Ver más
CISO
CISO. Director de Seguridad de la Información. Problemas habituales y funciones clave

CISO Las nuevas tecnologías aumentan cada vez más, y con ello la adaptación de las organizaciones a los…

Ver más