Una función primordial y, en
cierta medida, básica en la que el
Auditor en
Seguridad Informática (ASI) debe fundamentar su
rol es el Análisis de Riesgos (AR).
Análisis de Riesgos
Procesos
Legislación aplicable, leyes y jurisprudencia
(debido a posibles contingencias)
Reglamentación sectorial interna
Acuerdos y contratos (con personal
subcontratados o proveedores)
Análisis de informes medioambientales
Análisis de
estudios de mercado
El ASI debe elaborar periódicamente un informe
de calificación de impactos y riesgos,incluyendo
directivas acerca del plazo de tiempo en que
éstos deben resolverse.
A la vista de los impactos y riesgos a que está
expuesto el sistema, hay que tomar una serie de
decisiones de tipo gerencial, no técnico,
condicionadas por diversos factores:
·la gravedad del impacto y/o del riesgo
·las obligaciones a las que por ley esté
sometida la
Organización
·las obligaciones a las que por reglamentos
sectoriales esté sometida la Organización.
· las obligaciones a las que por contrato esté
sometida la Organización Dentro del margen de
maniobra que permita este marco, pueden aparecer
consideraciones
adicionales sobre la capacidad de la
Organización para aceptar ciertos impactos de
naturaleza intangible tales como:
·imagen pública de cara a la Sociedad
·política interna: relaciones con los propios
empleados, tales como capacidad de contratar al
personal idóneo, capacidad de retener a los
mejores, capacidad de soportar rotaciones de
personas, capacidad de ofrecer una carrera
profesional atractiva, etc.
·relaciones con los proveedores, tales como
capacidad de llegar a acuerdos ventajosos a
corto,medio o largo plazo, capacidad de obtener
trato prioritario, etc.
·relaciones con los clientes o usuarios, tales
como capacidad de retención, capacidad de
incrementar la oferta, capacidad de
diferenciarse frente a la competencia, ...
·relaciones con otras organizaciones, tales como
capacidad de alcanzar acuerdos
estratégicos,alianzas, etc.
·nuevas oportunidades de negocio, tales como
formas de recuperar la inversión en seguridad
·acceso a sellos o calificaciones reconocidas de
seguridad
Todas las consideraciones anteriores desembocan
en una calificación de cada riesgo
significativo, determinándose si:
1. es crítico en el sentido de que requiere
atención urgente
2. es grave en el sentido de que requiere
atención
3. es apreciable en el sentido de que pueda ser
objeto de estudio para su tratamiento
4. es asumible en el sentido de que no se van a
tomar acciones para atajarlo
GESTION DE RIESGOS
ELABORACIÓN DE UN PLAN DE SEGURIDAD DE LA
INFORMACIÓN
Básicamente, se llevan a cabo dos pasos:
1. Se crean todos los escenarios de impacto y
riesgo que se consideren críticos o graves.
2. Se elabora un conjunto de programas
(procesos) de seguridad que den respuesta a
todos y cada uno de los escenarios anteriores,
sabiendo que un programa puede afrontar
diferentes escenarios y que un mismo escenario
puede ser analizado y resuelto por diferentes
programas.
El objetivo se intentar implementar o mejorar
una serie de salvaguardas que disminuyan el
impacto y riesgo a niveles asumibles por la
Dirección de la Empresa.
Cada programa de seguridad debe detallar:
• Su objetivo genérico.
• Las salvaguardas concretas a implementar o
mejorar, detallando objetivos de
calidad,eficiencia y eficacia.
• La relación de escenarios de impacto y/o riego
que afronta.
• Estimación de costos, tanto económicos como de
esfuerzo de realización, teniendo en cuenta:
costos de adquisición de productos y/o de
contratación de servicios o de desarrollo,
pudiendo ser necesaria la evaluación de
diferentes alternativas.
Costos de implementación inicial y mantenimiento
en el tiempo.
Costos de formación de operadores o de usuarios,
según el caso.
Costos de explotación.
Impacto en la
productividad de la Empresa.
• SUBTAREAS
Cambios en la normativa y desarrollo de
procedimientos.
Soluciones técnicas
Plan de despliegue
Plan de formación
Es importante considerar que el establecimiento
de estos procesos o planes de seguridad deben
ser monitorizados constantemente por un “comité
de seguimiento” formado por autoridades de la
empresa comprometidos en la elaboración,
implementación y seguimiento de los mismos.
Estas autoridades deben ser personas idóneas en
la materia o, al menos, contar con
la predisposición de acompañar y respaldar al
Auditor en Seguridad en cada
elaboración,implementación de políticas y toma
de decisiones ejecutivas.
Artículo basado en MAGERIT Versión 2.
Un agradecimiento especial al
Señor:LUCIANO SALELLAS
AUDITOR EN SEGURIDAD INFORMATICA
SR HADDEN SECURITY CONSULTING
Tel: (0054-0343) 155-121-554
E mail: sr_hadden@hotmail.com
www.sr-hadden.com.ar
Por su excelente árticulo y colaboración con
este portal.
|