Gestión y Competitividad

Gestión de riesgos: Pasos clave para proteger la información

17/12/2024
local_library
4 mins
16
Piezas que caen representando la gestión de riesgos

Recientemente, las organizaciones han comenzado a dar mayor importancia a la protección de la información, un activo valioso y fundamental. Para que estas preocupaciones sean gestionadas de manera efectiva, es necesario implementar medidas adecuadas que garanticen la seguridad de la información.

La Norma ISO 27001:2022 establece que las organizaciones deben definir y aplicar un proceso para la apreciación de riesgos. A continuación, te mostramos algunos puntos clave que debes tener en cuenta en este proceso.

¿Cómo definir y gestionar los riesgos?

Para empezar, es esencial establecer criterios claros para la aceptación de riesgos. Esto implica evaluar hasta qué nivel la organización está dispuesta a asumir riesgos sin comprometer sus operaciones. Además, es importante que cada periodo de apreciación de riesgos genere resultados consistentes y comparables.

A continuación, deberás:

  1. Identificar los riesgos y sus responsables.
  2. Analizar los riesgos, evaluando las posibles consecuencias (impacto) en caso de que se materialicen y la probabilidad de ocurrencia.
  3. Evaluar los riesgos, comparando los resultados del análisis con los criterios de aceptación definidos y priorizando el tratamiento de aquellos de mayor impacto.

Podría interesarte: ¿Qué es ISO 27000?

Enfoque basado en eventos

Uno de los mayores retos a los que se enfrentan los responsables de un Sistema de Gestión de Seguridad de la Información (SGSI) es la correcta identificación de los riesgos. El enfoque basado en eventos es una forma de hacerlo, ya que te permite centrar los esfuerzos en tratar los riesgos críticos sin necesidad de identificar activos e información en un nivel detallado.

Para identificar riesgos a través de este enfoque, primero puedes comenzar evaluando el historial de incidentes de seguridad ocurridos en la organización y sus consecuencias. Luego, es recomendable realizar entrevistas con la Alta Dirección y los responsables de los procesos críticos para obtener una visión más completa del contexto de riesgo.

El resultado de este análisis será una lista de «escenarios de riesgo», que luego se pueden clasificar y analizar para aplicar el tratamiento correspondiente.

Podría interesarte: Confianza cero en ciberseguridad

Enfoque basado en activos

Otra opción es el enfoque basado en activos, que se centra en la identificación de riesgos mediante la evaluación de amenazas y vulnerabilidades de los activos de la organización.

Para seguir este enfoque, te sugerimos los siguientes pasos:

  1. Identifica la información crítica que necesita ser protegida. Si la información se ve comprometida en alguno de sus tres pilares (confidencialidad, integridad o disponibilidad), las consecuencias para la organización pueden ser graves.
  2. Identifica los activos que manejan esta información. Estos activos pueden ser dispositivos, aplicaciones o sistemas. El resultado será un inventario de activos de seguridad de la información.
  3. Identifica las vulnerabilidades de estos activos. Las vulnerabilidades son debilidades o carencias que pueden poner en riesgo la información gestionada en estos activos. Ejemplos comunes incluyen procedimientos operativos inadecuados o uso incorrecto de controles de acceso físico.
  4. Identifica las amenazas que pueden comprometer la seguridad de la información. Las amenazas son factores fuera de tu control, como malware, phishing o ataques de fuerza bruta.
  5. Analiza los riesgos que surgen cuando las amenazas aprovechan las vulnerabilidades, generando un listado de riesgos potenciales.

Podría interesarte: Gestión de Vulnerabilidades en TI

Conclusión

La correcta identificación y gestión de riesgos es fundamental para proteger la información valiosa de tu organización. Ya sea mediante un enfoque basado en eventos o en activos, estos pasos te permiten establecer un proceso sólido y eficiente para proteger lo que más importa.

¿Quieres saber más sobre cómo proteger la información en tu organización?

Visita nuestra página de seguridad de la información para obtener más consejos y recursos sobre cómo implementar una gestión de riesgos eficaz y mantener la seguridad en todo momento. ¡Haz clic aquí para aprender más!

Melissa Martínez Hernández

Tengo formación en Sistemas Computacionales por el Instituto Tecnológico de Querétaro. Actualmente, me desempeño como Oficial de seguridad de la información, mi principal función es cuidar la confidencialidad, integridad y disponibilidad de la información, así como velar por el cumplimiento de las políticas que conforman nuestro SGSI. He adquirido conocimientos en infraestructura de TI, Normas ISO y seguridad. Mi enfoque hacia la mejora continua me ha permitido desarrollarme también como auditora, pues disfruto de evaluar la conformidad y cumplimiento de los diferentes sistemas de gestión en la organización.