¿Cómo hacer un correcto análisis de riesgos en Seguridad de la Información?

En esta sesión Leonardo Villamarín, especialista en riesgos de Pirani, nos enseña sobre la seguridad de información en la organización, conceptos básicos y pasos para el análisis de la seguridad de información e interpretación.

Seguridad de Información en la Organización e ISO 27001

Según la norma ISO27001, la seguridad de la información se refiere al conjunto de medidas utilizadas para proteger y preservar la confidencialidad, integridad y disponibilidad de la información, disminuyendo los posibles impactos por el mal uso o resguardo de la misma.

• La gestión de riesgos tiene sentido cuando está alineada con la estrategia organizacional.
• Por lo tanto todos los elementos que hacen parte de la seguridad de la información, también deben estar en la misma línea.

Conceptos básicos

• Disponibilidad: Garantizar que la información esté siempre a disposición de quienes deban hacer uso de ella.
• Integridad: Validar que la información este bien protegida y resguardada para evitar modificaciones de usuarios no autorizados.
• Confidencialidad: Prevenir la divulgación de la información a personas no autorizadas.

Activos de la información

• Información
• Hardware
• Software
• Infraestructura
• Servicios
• Personas

Marco de referencia de la gestión de riesgos

Proteger el valor:

La gestión de riesgos contribuye al logro de los objetivos de la organización y mejora el desempeño. Aportando en: Salud, seguridad humana, conformidad legal, reputación, rentabilidad, protección del medio ambiente, calidad, infraestructura, proyectos.

La gestión de riesgos es parte integral de todos los procesos organizacionales:

Es transversal a las áreas de la organización y trabaja desde el proceso más simple hasta el más complejo.

Interpretación de la información

Recordado que debe ser

• Guía visual 
• Sencilla
• Flexible
• Comparativa y  permitir diagnósticos