Análisis y Gestión de Riesgos en Seguridad de la Información Análisis y Gestión de Riesgos en Seguridad de la Información Análisis y Gestión de Riesgos en Seguridad de la Información banner servicios protektnet analisisygestionriesgo
Análisis y Gestión de Riesgos en Seguridad de la Información Análisis y Gestión de Riesgos en Seguridad de la Información Análisis y Gestión de Riesgos en Seguridad de la Información grafico 22

El Análisis y la Gestión de Riesgos consiste en un proceso continuo y total de identificar, controlar, y eliminar o minimizar eventos inciertos que puedan afectar los recursos de TI. Esto en base a lo definido por la norma ISO/IEC 27005.

De acuerdo a lo definido por la norma ISO 31000 el proceso de gestión de riesgos a la seguridad consiste en el establecimiento de alcances, la evaluación de los riesgos, el tratamiento de los riesgos, la aceptación de los riesgos, la comunicación de los riesgos y el monitoreo y revisión continua de los riesgos.

El ejercicio de analizar y gestionar riesgos puede ser realizado siguiendo diferentes metodologías existentes en el mercado sin embargo todas deben apegarse a las mejores prácticas definidas en el estándar ISO/IEC 27005

Análisis y Gestión de Riesgos en Seguridad de la Información Análisis y Gestión de Riesgos en Seguridad de la Información Análisis y Gestión de Riesgos en Seguridad de la Información anygdr02

En ProtektNet nuestros consultores se apegan a los estándares en seguridad de la información para garantizar la efectividad del ejercicio y la implementación del proceso de análisis y gestión de riesgos en las organizaciones, esto permite generar un nuevo panorama ante las iniciativas a corto, mediano y largo plazo que deben realizarse en temas de seguridad de la información.

Los beneficios de contar con un análisis de riesgos y además implementar formalmente un proceso de gestión de riesgos son grandes. Presentamos algunos de ellos:

  • Soporte a decisiones estratégicas
  • Apoyo en la definición y asignación efectiva de recursos
  • Justificar esfuerzos en tiempo, recurso humano y financieros
  • Promover la mejora continua
  • Transmitir confianza a empleados, clientes y otros socios de negocio
  • Servir como uno de los pilares de los Sistemas de Gestión de Seguridad de la Información
  • Entre otros
Análisis y Gestión de Riesgos en Seguridad de la Información Análisis y Gestión de Riesgos en Seguridad de la Información Análisis y Gestión de Riesgos en Seguridad de la Información grafico 05

La identificación y tratamiento de riesgos no deben ser vistos como una actividad de una sola ejecución. Se deben implementar como un proceso de gestión en el cual periódicamente se realice la identificación, la valoración, priorización, planeación y tratamiento de cada uno de los riesgos que se pueden identificar en las organizaciones.

Es importante considerar también que el analizar los riesgos a la seguridad de la información no es exclusividad de empresas o áreas tecnológicas. Si bien algunas iniciativas de seguridad pueden ser de origen técnico, desde un punto de vista general las iniciativas deben ser consideradas para todas las áreas técnicas o non-técnicas de negocio.

Expertos consideran los siguientes aspectos como los más importantes en el ámbito de riesgos tecnológicos para el 2013:

  1. Cuantificar los riesgos:

    Las organizaciones deben empezar a medir el impacto de los riesgos de forma cuantitativa así como la efectividad de sus controles de seguridad para mitigar dichos riesgos.

  2. Riesgos en cadena de suministros

    Más allá de solo identificar los riesgos internos las organizaciones deberán empezar a tomar en cuenta los riesgos correspondientes a sus canales de suministro.

  3. Riesgos sobre los recursos humanos

    El factor humano incrementa su ponderación en la valoración de los riesgos en las organizaciones año tras año. La concienciación de seguridad de la información en el personal deberá ser abordada de forma más activa además de cambiar drásticamente su forma de medición.

  4. Estar preparados para enfrentar incidentes

    Las organizaciones deben empezar a prepararse para reaccionar de forma pronta antes incidentes de seguridad de la información. Detectar y reaccionar en tiempo real a incidentes se convertirá en una exigencia en muchos giros de negocio.

Análisis y Gestión de Riesgos en Seguridad de la Información Análisis y Gestión de Riesgos en Seguridad de la Información Análisis y Gestión de Riesgos en Seguridad de la Información grafico 35

Nombre (requerido)

Correo electrónico (requerido)

Teléfono

Asunto

Mensaje