Primeramente, debemos decir que la seguridad de la información es uno de los objetivos más importantes en las empresas.
Existen varias metodologías con las que se puede realizar una adecuada estrategia para la gestión de riesgos, cada una busca garantizar la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de la información.
La gestión de riesgos consiste en la implementación de las defensas y mecanismos de protección necesarios para conocer, evitar, limitar y controlar los riesgos que puedan amenazar los activos de información.
El plan de gestión de riesgos debe tener dos formas de comunicación.
La primera se basa en que por su importancia debe ser permeada a toda la organización para que cada persona tenga conciencia sobre la búsqueda de la minimización de las vulnerabilidades por amenazas; y la segunda está enfocada en conectar el plan de riesgo y que se alinee a alguna metodología o norma para su gestión. Así pues, dependiendo las necesidades de una empresa podría elegir una metodología Iso, una CMMI, etc.
Existen metodologías para gestión de riesgos que se enfocan únicamente a la parte del desarrollo de software, así que estas llevan un arranque desde el momento de la planificación del proyecto. Se recomienda siempre que en desarrollo de software se tengan contemplados elementos que sean iterativos, tales como la espiral de Barry Boehm.
Todo tipo de programa de gestión de riesgos tiene dos fases principales:
Las principales metodologías de gestión de riesgos, son:
- ISO/IEC 27005 (Julio 2008) Gestión de riesgos en materia de seguridad de la información.
Este tipo de método, aclara límites del SGSI ubicando los activos críticos de información v.g. unidades de información, ubicación, departamentos, así como los riesgos propios o externos asociados.
- COBIT
Esta se basa en el ciclo de Edwar Deming, planifica, implementa, checa y corrige. El proceso 9 de COBIT define el riesgo como cualquier amenaza sobre las metas u objetivos de la organización, causado por un evento no planificado.
- CMMI
CMMI, es un modelo norteamericano subsidiario de ISACA o Modelo de Madurez, mejora de procesos y tiene un proceso de gestión de riesgos.
- SPICE
Es una Norma ISO 15504 – Software Process Improvement and Capability o Spice. Determina que la gestión de riesgos consiste en identificar nuevos riesgos, mitigarlos de forma efectiva y evaluar los esfuerzos de mitigación. Además, determina 7 prácticas de proceso.
- OCTAVE
Es una metodología desarrollada por la SEI que basa su análisis en 3 elementos principales:
- La evolución de la organización y la descripción de los perfiles de sus activos versus sus amenazas.
- Las vulnerabilidades en la infraestructura de TI.
- Y finalmente el plan y estrategia de seguridad.
- Tiene 3 modelos y clasifica a las empresas en 3 grupos principales.
- MAGERIT
Esta metodología española del ministerio de administraciones públicas, desea dotar criterios validos en materia de TI. Y básicamente determina 3 etapas
- La Planificación del proyecto
- Análisis de riesgos
- Gestión de riesgos y tratamiento de riesgos
En conclusión, existen múltiples formas y/o metodologías para la gestión del riesgo. Toda organización debe tener un análisis holístico de su gestión de riesgos y este podría ser encaminado a las ISO 31000.
Sin embargo, la actividad propia de seguridad desde el punto de vista de TI podría solo estar enfocada a la ISO 27005. Esta ISO27005 es una herramienta que gestiona los riesgos de seguridad de la información, y considera:
Al ser una Norma global, pero a su vez mayormente usada en México, permite tener mayor cercanía a expertos y empresas que nos evalúen.
Por: Dr. Juan Luis Cisneros López,
Presidente del Consejo de Seguridad de Asociación Mexicana de Instituciones Bursátiles.
Contacto
