La seguridad de la información cada vez es un tema más relevante para todas las organizaciones, por eso es clave conocer cómo se puede gestionar correctamente a través de un análisis de riesgos basado en los activos de información de la empresa.
Cuando hablamos de seguridad de la información, nos referimos, según la norma ISO 27000, al conjunto de procedimientos, actividades, protocolos y políticas que permiten proteger y preservar la confidencialidad, la integridad y la disponibilidad de la información crítica, valiosa y sensible que manejan las organizaciones, tanto al interior como fuera de estas, disminuyendo así los posibles impactos generados por el mal uso o el resguardo de esta.
Para lograr esto, cada vez más las organizaciones ponen en práctica los lineamientos de la norma ISO 27001, norma certificable, para la identificación, valoración y gestión tanto de los activos de información como de los riesgos asociados a estos buscando así salvaguardar en todo momento la información.
En este sentido, el análisis y evaluación de riesgos basado en activos permite a las organizaciones que adoptan este estándar internacional, identificar claramente todas aquellas amenazas que pueden impactar negativamente en los objetivos de seguridad, así como en la imagen y reputación de la empresa.
Para este análisis y evaluación de riesgos basado en activos, se consideran por ejemplo: dispositivos, hardware y software, bases de datos, archivos, ordenadores y sistemas de almacenamiento, incluso, personas y otros recursos críticos que se deben proteger para garantizar la confidencialidad, integridad y disponibilidad de la información.
En este Especial de la Academia Pirani podrás conocer sobre conceptos claves de gestión de la seguridad de la información, además, los pasos a tener en cuenta para realizar un análisis de riesgos basado en activos de información en tu organización y finalmente, te compartimos algunas de las ventajas de contar con un adecuado Sistema de Gestión de Seguridad de la Información (SGSI).
Para una buena gestión de la seguridad de la información en las organizaciones, es importante conocer y tener claridad sobre algunos conceptos claves:
Es todo aquello que tiene algún valor para la organización y por ende, debe protegerse. Los activos pueden ser tangibles o intangibles, por ejemplo: la infraestructura informática, los equipos auxiliares, las redes de comunicaciones, las instalaciones y las personas, principalmente aquellas que tienen acceso a información crítica y sensible.
Es una de las propiedades de la información que se deben garantizar. Tiene que ver con que la información no puede ser accesible ni divulgada a quienes no estén autorizados, es decir, solo pueden tener acceso quienes tengan un rol específico y cuenten con los permisos.
Esta segunda propiedad de la información consiste en mantener la integridad de los datos, tal como el emisor los originó, no puede haber manipulaciones o alteraciones por parte de terceros. En otras palabras, la información debe permanecer completa y exacta.
Es la tercera propiedad de la información y se refiere a que esta debe estar siempre disponible para todo el personal que tiene la autorización de acceder a ella.
Se trata de una debilidad o falla en un sistema de información que pone en riesgo la seguridad de la información. Las vulnerabilidades dependen, en gran medida, de la naturaleza de los sistemas, son un factor intrínseco a los activos, por eso pueden depender del hardware, del software, de las redes, del personal, de la infraestructura o de la organización.
Una vulnerabilidad puede ser: fallas en los diseños, errores de configuración, falta de procedimientos y controles, personal sin la formación adecuada, ausente o sin supervisión.
Es todo aquello que puede afectar / dañar la seguridad de un sistema de información. Las amenazas a las que se enfrenta la información de una organización son muy variadas, por ejemplo: fallos de la infraestructura auxiliar, fraude asistido por computadora, desconocimiento o mal uso de la información por parte de los empleados, robo de equipos, espionaje o vandalismo, etc.
Consiste en uno o varios eventos de seguridad de la información no deseados e inesperados que pueden comprometer de forma significativa las operaciones del negocio y amenazar su seguridad.
Se trata de una herramienta de gestión que permite establecer, implementar, monitorear, revisar, mantener y mejorar la seguridad de la información de una organización para el logro de los objetivos del negocio.
En general, su principal objetivo es proteger los datos, preservando su confidencialidad, integridad y disponibilidad al interior de la empresa y a los stakeholders. El SGSI está conformado por las políticas, procedimientos, lineamientos, actividades y recursos asociados.
Luego de haber definido algunos de los conceptos claves relacionados con seguridad de la información, ahora podrás conocer cada uno de los pasos recomendados por la ISO 27001 para realizar un análisis de riesgos en tu organización basado en los activos de información.
La identificación e inventario de los activos de información es la base para el análisis y evaluación de riesgos de seguridad de la información.
Esta etapa consiste en identificar cada uno de los activos que tienen algún valor para la organización y que es importante proteger, esto incluye activos para el procesamiento, transmisión, tratamiento o almacenamiento de la información.
Y para esto, es necesario realizar un inventario que considere datos como:
En este punto es fundamental definir quién es el propietario del activo, es decir, la persona o área responsable de este y por ende, el que debe establecer e implementar las medidas y controles para su adecuada protección.
Contar con este inventario, que debe mantenerse actualizado, permite a las organizaciones tener claridad de todos sus activos de información y tomar las medidas necesarias para protegerlos.
Una vez se tenga el inventario de los activos, el siguiente paso es valorarlos y clasificarlos según su criticidad. Para esto es necesario tener en cuenta las tres propiedades de la información: confidencialidad, integridad y disponibilidad, es decir, cada una de estas debe ser calificada con variables cuantitativas o cualitativas, por ejemplo:
Con esto se conoce la criticidad del activo y de esta manera se puede clasificar:
El tercer paso para el análisis de riesgos basado en activos de información es, precisamente, la identificación de los riesgos a los que están expuestos los activos de la organización, así como las vulnerabilidades y amenazas que pueden afectar su confidencialidad, integridad y disponibilidad, además de la continuidad de la operación o la prestación de los servicios.
Algunos riesgos de seguridad de la información pueden ser: daños o alteraciones, pérdidas, destrucción lógica, destrucción física, hackeo, secuestro de datos o eliminación.
Después de identificar los riesgos asociados a cada uno de los activos de información identificados, lo siguiente es establecer tanto la probabilidad de ocurrencia, es decir la frecuencia con la que se pueden materializar, como el impacto que causarían a la organización si llegan a materializarse.
Algunos impactos que pueden generar los riesgos de seguridad de la información son pérdidas financieras, interrupciones de la operación, daños a la imagen y reputación, entre otros.
Al evaluar los riesgos se determina el riesgo inherente y de acuerdo al nivel de calificación de cada uno, se priorizan, por ejemplo a través de una matriz de riesgos, para establecer los controles y medidas de mitigación más adecuadas.
Una vez se tiene el riesgo inherente para cada uno de los activos y de haberlos ubicado en la matriz de riesgos, se les debe dar un tratamiento. Para realizar este tratamiento hay que definir, con base en el análisis de impacto, qué acción se va a tomar con cada uno de estos:
Generalmente, la acción de tratamiento más usada es la de reducir el riesgo a través de la definición e implementación de controles que por un lado ayudan a disminuir la probabilidad de ocurrencia y por otro, el impacto que causaría si se materializa el riesgo.
Al implementar los controles adecuados para proteger los activos de información, se obtiene el riesgo residual.
Sumado a los anteriores pasos, teniendo en cuenta lo que dice el estándar ISO 27001, es fundamental realizar un monitoreo y revisión periódica a todo el sistema de gestión de seguridad de la información pues hacerlo permite:
¿Cómo puedes realizar de manera simple y eficiente este análisis de riesgos basado en activos de información?
Una herramienta tecnológica como el sistema de gestión de riesgos de seguridad de la información de Pirani, ISMS, te ayudará a ti y a tu organización a gestionar más fácilmente tanto los activos de información como los diferentes riesgos a los que estos están expuestos.
Crea ahora tu cuenta en Pirani y prueba gratis todas las funcionalidades que tenemos para acompañarte a gestionar la seguridad de la información en tu organización.
La información se ha convertido en uno de los principales activos de las organizaciones, por eso, cada vez es más importante protegerla y garantizar en todo momento sus tres propiedades (confidencialidad, integridad y disponibilidad) y un Sistema de Gestión de Seguridad de la Información, SGSI, como el propuesto por la norma ISO 27001 es de gran utilidad para este objetivo.
Entre otras ventajas, implementar un SGSI en las organizaciones permite:
Y en tu organización, ¿ya cuentan con un adecuado Sistema de Gestión de Seguridad de la Información? Conoce cómo a través de ISMS de Pirani podemos ayudar a tu empresa a tenerlo y a cumplir la norma ISO 27001.
Solicita ayuda aquí si eres cliente →
Somos Pirani → 
